![Le prix de cet antivirus de référence baisse : une bonne raison de plus de protéger son PC et son smartphone [Sponso]](https://c0.lestechnophiles.com/www.numerama.com/wp-content/uploads/2025/03/virus-windows.jpg?resize=1600,900&key=fd40b543&watermark)
ESET Research détecte la première attaque européenne du groupe MirrorFace
ESET Research détecte la première attaque européenne du groupe MirrorFace ESET a identifié une cyberattaque du groupe MirrorFace contre un institut diplomatique européen. Le groupe MirrorFace a modernisé ses outils et méthodes d'attaque. MirrorFace utilise désormais ANEL (malware d'APT10) et une version modifiée d'AsyncRAT fonctionnant dans Windows Sandbox pour éviter la détection. - Malwares
Les chercheurs d'ESET ont détecté une activité de cyberespionnage menée par le groupe APT MirrorFace, aligné sur la Chine, contre un institut diplomatique d'Europe centrale en lien avec l'Expo 2025 qui se tiendra à Osaka au Japon. Connu principalement pour ses activités contre des organisations japonaises, c'est la première fois que MirrorFace tente d'infiltrer une entité européenne. La campagne, découverte aux 2e et 3e trimestres 2024 est nommée Operation AkaiRyū (Dragon Rouge en japonais).
« MirrorFace a ciblé un institut diplomatique d'Europe centrale. À notre connaissance, c'est la première et unique fois que ce groupe vise une entité européenne », déclare Dominik Breitenbacher, chercheur chez ESET qui a enquêté sur cette campagne.
Les opérateurs de MirrorFace ont créé un hameçonnage ciblé (spearphishing), un message faisant référence à une interaction légitime antérieure entre l'institut et une ONG japonaise. L'Expo mondiale 2025 à Osaka a servi d'appât, montrant que malgré cette nouvelle cible géographique, MirrorFace reste concentré sur le Japon et les événements qui y sont liés. Avant cette attaque, le groupe avait ciblé deux employés d'un institut de recherche japonais via un document Word malveillant protégé par mot de passe.
Lors de l'analyse d'Operation AkaiRyū, ESET a découvert que MirrorFace a considérablement renouvelé ses tactiques et outils. Le groupe a commencé à utiliser ANEL (aussi appelé UPPERCUT), une porte dérobée considérée comme exclusive à APT10 et supposée abandonnée depuis des années. Les activités récentes suggèrent que le développement d'ANEL a repris. Cet outil prend en charge des commandes basiques de manipulation de fichiers, d'exécution de charges utiles et de captures d'écran.
« L'utilisation d'ANEL fournit des preuves supplémentaires dans le débat sur la connexion potentielle entre MirrorFace et APT10. Ce fait, associé aux informations précédemment identifiées comme des similitudes de code et de cibles, nous amène à modifier notre attribution : nous pensons maintenant que MirrorFace est un sous-groupe de l'organisation APT10 », ajoute Breitenbacher.
De plus, MirrorFace a déployé une variante fortement personnalisée d'AsyncRAT, intégrant ce logiciel malveillant dans une chaîne d'exécution complexe qui l'exécute dans Windows Sandbox. Cette méthode dissimule efficacement les activités malveillantes aux contrôles de sécurité. Parallèlement, le groupe a commencé à déployer Visual Studio Code pour exploiter sa fonctionnalité de tunnels distants, permettant d'établir un accès furtif aux machines compromises, d'exécuter du code arbitraire et de déployer d'autres outils. MirrorFace continue également d'employer sa porte dérobée principale, HiddenFace, renforçant sa persistance sur les machines compromises.
Entre juin et septembre 2024, ESET a observé MirrorFace mener plusieurs campagnes d'hameçonnage ciblé. Selon les données d'ESET, les attaquants ont principalement obtenu un accès initial en incitant les cibles à ouvrir des pièces jointes ou liens malveillants, puis ont utilisé des applications légitimes pour installer furtivement leurs logiciels malveillants. Dans l'Operation AkaiRyū, MirrorFace a détourné des applications développées par McAfee et JustSystems pour exécuter ANEL. ESET n'a pas pu déterminer comment MirrorFace a exporté les données, ni si elles ont été exfiltrées.
Les chercheurs d'ESET ont collaboré avec l'institut diplomatique affecté et réalisé une enquête minutieuse. Cette collaboration étroite a fourni une vision approfondie des activités post-compromission qui seraient autrement restées invisibles. ESET a présenté les résultats de cette analyse lors de la Joint Security Analyst Conference (JSAC) en janvier 2025.
