Dutch IT Chanel Logo mobile
Search icon
Wouter Hoeffnagel - 19 maart 2025

Diplomatieke organisatie in Centraal-Europa doelwit van aan China-gelieerde APT-groep

ESET-onderzoekers waarschuwen voor cyberspionageactiviteiten die zijn uitgevoerd door de China-gelieerde APT-groep MirrorFace. De aanval was gericht op een diplomatiek instituut in Centraal-Europa. De aanval speelde in op de Expo 2025, die dit jaar wordt gehouden in Osaka, Japan.

Security Data protection
Diplomatieke organisatie in Centraal-Europa doelwit van aan China-gelieerde APT-groep image

MirrorFace staat vooral bekend om zijn cyberspionagecampagnes tegen organisaties in Japan. "MirrorFace heeft een diplomatiek instituut in Centraal-Europa aangevallen. Voor zover ESET weet, is dit de eerste en tot nu toe enige keer dat MirrorFace een Europese organisatie als doelwit heeft gekozen," zegt ESET-onderzoeker Dominik Breitenbacher, die de AkaiRyū-campagne heeft onderzocht.

De campagne werd in het tweede en derde kwartaal van 2024 ontdekt en door ESET Operation AkaiRyū (Japans voor RedDragon) genoemd. Tijdens deze campagne werden vernieuwde tactieken, technieken en procedures (TTP's) waargenomen die ESET Research in de loop van vorig jaar heeft geanalyseerd.

Spearphishing

De operators van MirrorFace voerden hun spearphishingaanval uit door een e-mailbericht te versturen dat verwees naar een eerdere, legitieme interactie tussen het doelwit en een Japanse NGO. In deze aanval gebruikte de dreigingsactor de aanstaande Wereldtentoonstelling Expo 2025 in Osaka, Japan, als lokaas. Dit toont aan dat MirrorFace, ondanks deze bredere geografische targeting, nog steeds een sterke focus op Japan en aan Japan gerelateerde evenementen behoudt.

Vóór de aanval op dit Europese diplomatieke instituut had MirrorFace al twee werknemers van een Japans onderzoeksinstituut als doelwit gekozen. Dit gebeurde via een kwaadaardig, met een wachtwoord beveiligd Word-document, dat op onbekende wijze werd afgeleverd.

Vernieuwde tactieken en geavanceerde malware

Tijdens de analyse van Operation AkaiRyū ontdekte ESET dat MirrorFace zijn TTP’s en tools aanzienlijk heeft vernieuwd. De groep maakt nu gebruik van ANEL (ook bekend als UPPERCUT) – een backdoor die voorheen exclusief werd geassocieerd met het eveneens aan China gelieerde APT10. Daarvan werd aangenomen dat het al jaren niet meer werd gebruikt. De nieuwste activiteit wijst er echter sterk op dat de ontwikkeling van ANEL is hervat. ANEL ondersteunt basiscommando’s voor bestandsmanipulatie, het uitvoeren van payloads en het maken van schermafbeeldingen.

"Het gebruik van ANEL levert nieuw bewijs in de lopende discussie over de mogelijke connectie tussen MirrorFace en APT10. Het feit dat MirrorFace ANEL is gaan gebruiken, samen met eerder geïdentificeerde overeenkomsten zoals vergelijkbare doelwitten en malwarecode, heeft ons ertoe gebracht onze toewijzing aan te passen: we beschouwen MirrorFace nu als een subgroep binnen de APT10-structuur," zegt Breitenbacher.

Aangepaste variant van AsyncRAT

Daarnaast heeft MirrorFace een sterk aangepaste variant van AsyncRAT ingezet, waarbij deze malware werd ingekapseld in een nieuw waargenomen, complexe uitvoeringsketen die AsyncRAT binnen Windows Sandbox laat draaien. Dit maakt het voor beveiligingsoplossingen moeilijker om de kwaadaardige activiteiten te detecteren.

Naast de malware is MirrorFace begonnen met het gebruik van Visual Studio Code (VS Code) om misbruik te maken van de functie voor externe tunnels. Via deze externe tunnels kan MirrorFace ongemerkt toegang krijgen tot een gecompromitteerde machine, willekeurige code uitvoeren en aanvullende tools afleveren. MirrorFace blijft ook zijn belangrijkste backdoor, HiddenFace, gebruiken. Wat de blijvende toegang tot geïnfecteerde systemenen verstevigt.

Spearphishing en misbruik van legitieme software

Tussen juni en september 2024 heeft ESET meerdere spearphishingcampagnes van MirrorFace waargenomen. Op basis van ESET-data verkregen de aanvallers voornamelijk initiële toegang door doelwitten te misleiden om kwaadaardige bijlagen of links te openen. Vervolgens maakten ze gebruik van legitieme applicaties en tools om hun malware heimelijk te installeren.

Specifiek in Operation AkaiRyū heeft MirrorFace misbruik gemaakt van zowel door McAfee ontwikkelde applicaties als een applicatie van JustSystems om ANEL uit te voeren. ESET kon niet vaststellen op welke manier MirrorFace gegevens exporteerde of hoe de exfiltratie plaatsvond.

Samenwerking met getroffen organisatie

ESET Research werkte samen met het getroffen diplomatieke instituut in Centraal-Europa en voerde een forensisch onderzoek uit. Dankzij deze nauwe samenwerking kreeg ESET diepgaand inzicht in de activiteiten na de compromittering. De resultaten van deze analyse zijn in januari 2025 gepresenteerd op de Joint Security Analyst Conference (JSAC).

Een gedetailleerde technische analyse van Operation AkaiRyū is hier beschikbaar.

Okta 18/03/2025 t/m 01/04/2025 BW Trend Micro World Tour 2025

Dutch IT events

Event icon

Event

Dutch IT Security Day

Event icon

Event

Gartner Symposium ITXpo

Alle events
Trend Micro World Tour 2025

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!