Un actor malicioso vinculado a China conocido como MirrorFace (alias Earth Kasha) ha sido asociado a una nueva campaña de spearphishing principalmente dirigida a particulares y organizaciones japonesas desde junio de 2024.

Según un análisis técnico en Trend Micro, el objetivo de la campaña es entregar los backdoors NOOPDOOR (alias HiddenFace) y ANEL (alias UPPERCUT). El investigador de seguridad Hara Hiroaki afirma: «un aspecto interesante de esta campaña es la reaparición de un backdoor apodado ANEL, que se utilizó en campañas dirigidas a Japón por APT10 hasta alrededor de 2018 y no se había observado desde entonces».

Los objetivos de esta campaña de junio de 2024 incluyen particulares afiliados a organizaciones políticas, instituciones de investigación, grupos de reflexión y organizaciones relacionadas con las relaciones internacionales. En 2023, Earth Kasha intentó principalmente explotar las vulnerabilidades de los dispositivos periféricos para la intrusión, pero esta nueva campaña revela que han vuelto a cambiar sus TTP (tácticas, técnicas y procedimientos), cambiando el punto de mira de las empresas a los particulares.

Además, un análisis de los perfiles de las víctimas y los nombres de los archivos señuelo distribuidos sugiere que los adversarios están particularmente interesados en temas relacionados con la seguridad nacional y las relaciones internacionales de Japón.

Los correos electrónicos de spear phishing fueron enviados desde cuentas de correo gratuitas o cuentas ya comprometidas. Su contenido incluye un mensaje en japonés que alentaba al destinatario a descargar un fichero ZIP que es el vector de infección.

El contenido del fichero ZIP varía según la víctima objetivo del ataque, siendo una de las siguientes posibilidades:

1. Un documento con macros embebidas. La infección comienza al abrir el documento, llamado ROAMINGMOUSE, y habilitar las macros.
2. Un fichero de acceso directo, un fichero autoextraíble y una plantilla de Word. El autoextraíble está disfrazado de documento cambiando su icono y extensión. Al abrirse el acceso directo, se ejecuta el autoextraíble, el cual coloca dos documentos en el directorio de plantillas de Microsoft Office. Uno de ellos es un señuelo que de por sí es inofensivo, mientras que el otro, normal_.dotm, contiene una macro llamada ROAMINGMOUSE. Al abrir el señuelo, se carga automáticamente ROAMINGMOUSE. El resto del proceso de infección es como en el primer caso.
3. Un fichero de acceso directo, un fichero CAB y una plantilla de Word. Una variante del segundo caso donde el fichero de acceso directo contiene una línea de PowerShell que, al ejecutarse, extrae un fichero CAB embebido en el propio fichero de acceso directo y ejecuta un fichero señuelo que automáticamente acaba cargando ROAMINGMOUSE. El resto del proceso de infección es como en los casos primero y segundo.

Flujo de ejecución del caso 1. Fuente de la imagen: Trend Micro.

El documento con macros habilitadas, ROAMINGMOUSE, actúa como dropper para componentes relacionados con ANEL y, en última instancia, lanza el backdoor, al tiempo que incorpora técnicas de evasión que lo ocultan de los programas de seguridad y dificultan su detección.

Uno de los módulos desplegados a través del dropper es ANELLDR, un cargador diseñado para ejecutar ANEL en memoria. Se ejecuta mediante un método conocido como carga lateral de DLL, tras lo cual se desencripta y ejecuta la última fase del backdoor para recoger información de los entornos infectados.

Los motivos de la atribución de esta campaña a Earth Kasha son los siguientes:

• Hasta principios de 2023, Earth Kasha había estado llevando a cabo campañas dirigidas a particulares y organizaciones en Japón a través de correos electrónicos de spear phishing como principal vector de intrusión. No hay incoherencias significativas en cuanto a las TTP o los perfiles de las víctimas.
• NOOPDOOR, usado por Earth Kasha, fue desplegado también en objetivos de especial interés.
• Existen similitudes en el código de ANELLDR y NOOPDOOR, lo que sugiere que alguien ha tenido acceso a ambos códigos.
• La reutilización de ANEL en esta campaña corrobora la conexión entre APT10 y Earth Kasha.

Hiroaki concluye en su informe: «muchos de los objetivos son particulares, como investigadores, que pueden tener diferentes niveles de medidas de seguridad en comparación con las organizaciones empresariales, lo que hace que estos ataques sean más difíciles de detectar. Es esencial mantener contramedidas básicas, como evitar abrir archivos adjuntos a correos electrónicos sospechosos. Además, es importante recopilar información sobre amenazas y asegurarse de que las partes pertinentes estén informadas.» 

Más información:

• Guess Who’s Back – The Return of ANEL in the Recent Earth Kasha Spear-phishing Campaign in 2024 | Trend Micro (US) https://www.trendmicro.com/en_us/research/24/k/return-of-anel-in-the-recent-earth-kasha-spearphishing-campaign.html
• ANEL and NOOPDOOR Backdoors Weaponized in New MirrorFace Campaign Against Japan https://thehackernews.com/2024/12/anel-and-noopdoor-backdoors-weaponized.html