China-nahe MirrorFace-Hacker greifen EU-Diplomaten mit Expo-2025-Köder an

BRÜSSEL / MÜNCHEN (IT BOLTWISE) – Die Bedrohung durch Cyberangriffe nimmt weiter zu, insbesondere durch Akteure, die mit China in Verbindung stehen. Jüngste Berichte zeigen, dass die Hackergruppe MirrorFace, die bisher vor allem in Japan aktiv war, nun auch diplomatische Organisationen in der Europäischen Union ins Visier nimmt.

Die Hackergruppe MirrorFace, die mit China in Verbindung gebracht wird, hat kürzlich eine diplomatische Organisation in der Europäischen Union angegriffen. Dies ist das erste Mal, dass die Gruppe in dieser Region aktiv wird. Als Köder nutzten die Angreifer die bevorstehende Weltausstellung 2025 in Osaka, Japan. Diese Strategie zeigt, dass MirrorFace trotz der neuen geografischen Ausrichtung weiterhin einen starken Fokus auf Japan und damit verbundene Ereignisse legt.

MirrorFace, auch bekannt als Earth Kasha, ist Teil einer größeren Gruppe, die unter dem Namen APT10 bekannt ist. Diese umfasst auch andere Cluster wie Earth Tengshe und Bronze Starlight. Seit mindestens 2019 ist die Gruppe für Angriffe auf japanische Organisationen bekannt. Anfang 2023 weitete sie ihre Aktivitäten auf Taiwan und Indien aus. Im Laufe der Jahre hat sich das Malware-Arsenal der Gruppe weiterentwickelt und umfasst nun Hintertüren wie ANEL, LODEINFO und NOOPDOOR sowie einen Credential-Stealer namens MirrorStealer.

Die Angriffe von MirrorFace sind hochgradig zielgerichtet. Laut Berichten gibt es pro Jahr weniger als zehn solcher Angriffe. Das Hauptziel dieser Einbrüche ist Cyber-Spionage und Datendiebstahl. Die jüngsten Angriffe zeigen, dass diplomatische Organisationen weiterhin im Visier dieser Bedrohungsakteure stehen. In dem jüngsten Angriff, der von einem slowakischen Cyber-Sicherheitsunternehmen entdeckt wurde, erhielt das Opfer eine Spear-Phishing-E-Mail mit einem Link zu einem ZIP-Archiv, das auf Microsoft OneDrive gehostet wurde.

Das Archiv enthielt eine Windows-Verknüpfungsdatei, die beim Start eine Infektionssequenz auslöste, die letztendlich ANEL und NOOPDOOR installierte. Interessanterweise ist ANEL nach fast fünf Jahren wieder aufgetaucht, nachdem es Ende 2018 oder Anfang 2019 von der Bildfläche verschwunden war. Es wurde angenommen, dass LODEINFO ANEL abgelöst hatte, da es später im Jahr 2019 auftauchte.

Diese Entwicklungen kommen zu einer Zeit, in der China-nahe Bedrohungsakteure wie Flax Typhoon und Granite Typhoon zunehmend auf die Open-Source- und Multi-Plattform-SoftEther-VPN setzen, um den Zugang zu den Netzwerken ihrer Opfer aufrechtzuerhalten. Ein kürzlich veröffentlichter Bericht deutet darauf hin, dass die China-verbundene Gruppe Volt Typhoon Singapur Telecommunications als Testlauf im Rahmen einer breiteren Kampagne ins Visier genommen hat, die auf Telekommunikationsunternehmen und andere kritische Infrastrukturen abzielt.

Auch Telekommunikations- und Netzwerkdienstleister in den USA, wie AT&T, Verizon und Lumen Technologies, sind ins Visier einer anderen chinesischen staatlichen Hackergruppe namens Salt Typhoon geraten. Diese Angriffe wurden genutzt, um Mobilfunkleitungen von hochrangigen nationalen Sicherheits- und Politikbeamten sowie Politikern in den USA zu kompromittieren. Der Angriff soll auch Kommunikationsanbieter eines anderen Landes infiltriert haben, das eng mit den USA in der Geheimdienstzusammenarbeit steht.