Les chercheurs d’ESET ont décrit une attaque du groupe MirrorFace contre un institut diplomatique européen. L’exploitation de la porte dérobée ANEL laisse supposer que MirrorFace est affilié au bien connu APT10, lui-même lié à la Chine.
C’est une première que nous rapportent les chercheurs en cybersécurité d’ESET. L’APT MirrorFace a tenté d’infiltrer un institut diplomatique d’Europe centrale. Connu pour viser des organisations japonaises, c’est la première fois qu’il est observé en Europe.
Le Japon n’est toutefois pas bien loin. ESET Research explique que cette tentative d’infiltration est liée à l’Exposition universelle de 2025 d’Osaka. Baptisée Operation AkaiRyū (Dragon Rouge en japonais), la campagne malveillante a été détectée aux 2ᵉ et 3ᵉ trimestres de 2025. Les opérateurs du groupe ont créé un message de spearphishing en lien avec une interaction légitime entre l’institut et une ONG japonaise.
D’après leurs recherches, les opérateurs de MirrorFace ont obtenu un accès initial en incitant leurs cibles à ouvrir des pièces jointes et des liens malveillants afin d’installer des logiciels espions. Ils ont, par exemple, détourné des applications de McAfee et JustSystems pour exécuter ANEL.
Un rejeton d’APT10 ?
En effet, en plus d’exploiter sa porte dérobée principale HiddenFace, le groupe a utilisé une porte dérobée considérée comme abandonnée, connue sous le nom d’ANEL ou UPPERCUT, afin de prendre le contrôle de fichiers, exécuter des charges utiles et réaliser des captures d’écran. Jusqu’ici, cet outil était exclusivement utilisé par APT10, un groupe lié à Pékin.
« L'utilisation d'ANEL fournit des preuves supplémentaires dans le débat sur la connexion potentielle entre MirrorFace et APT10. Ce fait, associé aux informations précédemment identifiées, comme des similitudes de code et de cibles, nous amène à modifier notre attribution : nous pensons maintenant que MirrorFace est un sous-groupe de l'organisation APT10 », a déclaré Dominik Breitenbacher, chercheur chez ESET.
Les chercheurs ont également repéré une variante personnalisée de l’outil de contrôle à distance AsyncRAT, déployée par MirrorFace et exécutée dans Windows Sandbox pour dissimuler les activités du groupe aux différents contrôles de sécurité. Le groupe a également exploité la fonctionnalité de tunnels distants de Visual Studio Code afin d’exécuter du code arbitraire et de déployer d’autres outils.
