گروه تهدید ملی MirrorFace (که به عنوان Earth Kasha نیز شناخته میشود و زیرمجموعهای از APT10 محسوب میشود) در مارس ۲۰۲۵ در حملات جاسوسی سایبری علیه نهادهای دولتی و موسسات عمومی ژاپن و تایوان مشاهده شد. این گروه وابسته به چین از بدافزار ROAMINGMOUSE و نسخه بهروزشده بکدور ANEL استفاده کرده که قابلیت اجرای فایلهای Beacon Object File (BOF) در حافظه را دارد.
حمله با ایمیلهای فیشینگ هدفمند شروع میشود که حاوی لینک Microsoft OneDrive برای دانلود فایل ZIP است. این فایل شامل سند Excel آلوده و ROAMINGMOUSE است که مولفههای ANEL را تحویل میدهد. هدف نهایی اجرای فایل مشروع و بارگذاری جانبی DLL مخرب ANELLDR برای رمزگشایی و راهاندازی بکدور ANEL است. برخی موارد از ابزار SharpHide برای راهاندازی نسخه جدید بکدور NOOPDOOR که از DNS-over-HTTPS برای مخفی کردن عملیات کنترل و فرماندهی استفاده میکند، بهرهبردهاند.
کلمات کلیدی : MirrorFace, APT10, ROAMINGMOUSE, ANEL backdoor, phishing attacks, DNS-over-HTTPS
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.