El actor de amenaza de estado nación conocido como Reflexivo se ha observado desplegar malware denominado Roamingmouse como parte de una campaña de ciber espionaje dirigida contra agencias gubernamentales e instituciones públicas en Japón y Taiwán.
La actividad, detectada por Trend Micro en marzo de 2025, implicó el uso de señuelos de phishing de pica para entregar una interpretación actualizada de una puerta trasera llamamiento Anel.
«El archivo ANEL de la campaña 2025 discutido en este blog implementó un nuevo comando para consentir una ejecución de BOF (archivo de objetos de Beacon) en la memoria», dijo la investigadora de seguridad Hara Hiroaki. «Esta campaña incluso potencialmente aprovechó Sharphide para difundir la segunda etapa de puerta trasera Noopdoor».
El actor de amenaza seguidor en China, incluso conocido como Earth Kasha, se evalúa como un subgrupo en el interior de Apt10. En marzo de 2025, ESET arrojó luz sobre una campaña denominada Operación Akairyū que se dirigió a una ordenamiento diplomática en la Unión Europea en agosto de 2024 con Anel (incluso conocido como Uppercut).
La orientación de varias entidades japonesas y taiwanesas apunta a una expansión continua de su huella, ya que el equipo de piratería indagación realizar robo de información para avanzar en sus objetivos estratégicos.
El ataque comienza con un correo electrónico de phishing de pica, algunos de los cuales se envían desde cuentas legítimas pero comprometidas, que contiene una URL OneDrive de Microsoft incrustada, que, a su vez, descarga un archivo zip.
El archivo ZIP incluye un documento de Excel con malware y un RoamingMouse RoamingMouse con nombre en código macro que sirve como un conducto para entregar componentes relacionados con ANEL. Vale la pena señalar que RoamingMouse ha sido utilizado por Mirrorface desde el año pasado.
«Roamingmouse luego decodifica el archivo zip incrustado usando Base64, deja caer la cremallera en un disco y expande sus componentes», dijo Hiroaki. Esto incluye –
- Jslntool.exe, jstiee.exe, o jsvwmng.exe (un binario legal)
- Jsfc.dll (anelldr)
- Una carga útil de Anel encriptada
- MSVCR100.dll (una dependencia de DLL legítima del ejecutable)
El objetivo final de la cautiverio de ataque es difundir el ejecutable legal usando Explorer.exe y luego usarlo para colocar la DLL maliciosa, en este caso, Anelldr, que es responsable de descifrar y difundir la puerta trasera de Anel.
Lo importante del artefacto ANEL utilizado en la campaña 2025 es la suplemento de un nuevo comando para consentir la ejecución en memoria de los archivos de objetos Beacon (BOF), que se compilan en los programas C diseñados para extender el agente de ataque de Cobalt con nuevas funciones de explotación posterior.
«A posteriori de instalar el archivo ANEL, los actores detrás de Earth Kasha obtuvieron capturas de pantalla utilizando un comando de puerta trasera y examinaron el entorno de la víctima», explicó Trend Micro. «El adversario parece investigar a la víctima mirando a través de capturas de pantalla, ejecutando listas de procesos e información de dominio».
Las instancias seleccionadas incluso han diligente una útil de código hendido llamamiento Sharphide para difundir una nueva interpretación de Noopdoor (incluso conocido como Hiddenface), otra puerta trasera previamente identificada como utilizada por el colección de piratería. El implante, por su parte, admite DNS-Over-HTTPS (DOH) para ocultar sus búsquedas de dirección IP durante las operaciones de comando y control (C2).
«Earth Kasha continúa siendo una amenaza persistente avanzadilla activa y ahora está dirigida a agencias gubernamentales e instituciones públicas en Taiwán y Japón en su última campaña que detectamos en marzo de 2025», dijo Hiroaki.
«Las empresas y las organizaciones, especialmente aquellas con activos de stop valencia, como datos confidenciales relacionados con la gobernanza, así como la propiedad intelectual, los datos de infraestructura y las credenciales de comunicación deben seguir siendo vigilantes e implementar medidas de seguridad proactivas para evitar que la caída víctima de los ataques cibernéticos».
