Recentemente, il gruppo di hacker noto come MirrorFace, allineato con la Cina, ha preso di mira un'organizzazione diplomatica nell'Unione Europea utilizzando come esca l'Expo Mondiale 2025 che si terrà a Osaka, in Giappone. Questo segna la prima volta che questo gruppo di hacker, che fa parte di un più ampio collettivo noto come APT10, ha mirato a un'entità nella regione europea. Sebbene il focus principale di MirrorFace sia stato storicamente il Giappone, con un'espansione recente verso Taiwan e India, la loro attenzione verso eventi legati al Giappone rimane evidente.

Arsenale di MirrorFace

MirrorFace è noto per un arsenale di malware che include backdoor come ANEL, LODEINFO e NOOPDOOR, oltre a un software di furto di credenziali chiamato MirrorStealer. Secondo ESET, le loro operazioni sono altamente mirate, con meno di dieci attacchi all'anno, concentrandosi principalmente sullo spionaggio informatico e il furto di dati. L'ultimo attacco, rilevato da una società di sicurezza informatica slovacca, ha coinvolto l'invio di email di spear-phishing che contenevano un link a un archivio ZIP ospitato su Microsoft OneDrive. Questo archivio includeva un file di scorciatoia di Windows che, una volta avviato, innescava una sequenza di infezione che distribuiva ANEL e NOOPDOOR.

Ricomparsa di ANEL

È interessante notare che ANEL, che si pensava fosse stato sostituito da LODEINFO nel 2019, è riapparso dopo quasi cinque anni. Questo sviluppo si inserisce in un contesto più ampio di attività di minaccia allineate alla Cina, come quelle dei gruppi Flax Typhoon e Granite Typhoon, noti per utilizzare SoftEther VPN per mantenere l'accesso alle reti delle vittime. Inoltre, un altro gruppo cinese, Volt Typhoon, è stato recentemente segnalato per aver violato Singapore Telecommunications come parte di una campagna più ampia contro le compagnie di telecomunicazioni e infrastrutture critiche.

Minacce informatiche globali

Negli Stati Uniti, fornitori di telecomunicazioni e servizi di rete come AT&T e Verizon sono stati presi di mira da un altro collettivo cinese noto come Salt Typhoon. Secondo un rapporto del Wall Street Journal, questi attacchi sono stati utilizzati per compromettere linee telefoniche utilizzate da alti funzionari di sicurezza nazionale e politici. L'intrusione è stata scoperta a giugno 2024, evidenziando la crescente complessità e la portata globale delle minacce informatiche sponsorizzate dallo stato cinese.