MirrorFace operatörleri, enstitü ile bir Japon sivil toplum kuruluşu arasında daha önce gerçekleşen meşru bir etkileşime atıfta bulunan bir e-posta mesajı hazırlayarak spearphishing saldırısı düzenlediler. Bu saldırı sırasında tehdit aktörü, Japonya’nın Osaka kentinde düzenlenecek olan World Expo 2025’i bir yem olarak kullandı. Bu Avrupa diplomatik enstitüsüne yapılan saldırıdan önce MirrorFace, bilinmeyen bir şekilde gönderilen kötü niyetli, parola korumalı bir Word belgesi kullanarak Japon araştırma enstitüsündeki iki çalışanı hedef aldı. AkaiRyū Operasyonu’nun analizi sırasında ESET, MirrorFace’in TTP’lerini ve araçlarını önemli ölçüde yenilediğini keşfetti. MirrorFace, yıllar önce terk edildiğine inanılan ve APT10’a özel olduğu düşünülen bir arka kapı olan ANEL’i (UPPERCUT olarak da adlandırılır) kullanmaya başladı. Ancak son faaliyetler, ANEL’in geliştirilmesinin yeniden başladığını güçlü bir şekilde gösteriyor. ANEL dosya manipülasyonu, yük yürütme ve ekran görüntüsü almaya yönelik temel komutları desteklemektedir.
Adli soruşturma gerçekleştirildi
ESET, Haziran ve Eylül 2024 tarihleri arasında MirrorFace’in çok sayıda hedefli kimlik avı kampanyası yürüttüğünü gözlemledi. ESET verilerine göre, saldırganlar öncelikle hedefleri kötü amaçlı ekleri veya bağlantıları açmaları için kandırarak ilk erişimi elde etti, ardından kötü amaçlı yazılımlarını gizlice yüklemek için yasal uygulamalardan ve araçlardan yararlandı. Özellikle AkaiRyū Operasyonu’nda MirrorFace, ANEL’i çalıştırmak için hem McAfee tarafından geliştirilen uygulamaları hem de JustSystems tarafından geliştirilen bir uygulamayı kullandı. ESET, MirrorFace’in verileri nasıl dışa aktardığını ve verilerin dışarı sızıp sızmadığını ya da nasıl sızdığını belirleyemedi. ESET Research, etkilenen Orta Avrupa diplomatik enstitüsü ile iş birliği yaptı ve adli bir soruşturma gerçekleştirildi. ESET Research, bu analizin sonuçlarını Ocak 2025’teki Ortak Güvenlik Analistleri Konferansı’nda (JSAC) sundu.