Операция «Красный дракон»: китайская MirrorFace нацелилась на дипломатические структуры

Исследователи по киберугрозaм из компании ESET раскрыли новые детали вредоносной кампании AkaiRyū (в переводе с японского — «Красный дракон»), организованной китайской группировкой MirrorFace. Атака была зафиксирована в конце августа 2024 года. Её целью стал дипломатический институт в Центральной Европе, а приманкой для заражения послужили документы, связанные с выставкой Expo 2025, которая скоро стартует в японской Осаке.

MirrorFace, известная также как Earth Kasha, действует как минимум с 2019 года и считается частью более широкой группы APT10. Обычно её атаки нацелены на японские организации, но нынешняя операция демонстрирует значительное изменение географии атак.

Кроме того, хакеры использовали модифицированную версию трояна удалённого доступа AsyncRAT и бэкдор ANEL (он же UPPERCUT), который ранее связывали с APT10. Это важно, поскольку ранее группа использовала другой инструмент — LODEINFO, но теперь сменила его на ANEL. Последний раз ANEL был замечен в 2018-2019 годах, после чего считался заброшенным.

Специалисты ESET пока не нашли объяснения, почему MirrorFace отказалась от LODEINFO в пользу ANEL. Однако с начала 2024 года LODEINFO больше не фиксировался в атаках, что может указывать на окончательный переход к новому инструменту.

Эксперты отметили, что операция AkaiRyū пересекается с кампанией C, ранее задокументированной японскими правоохранительными органами и Национальным центром кибербезопасности (NCSC) в январе 2025 года. Среди новых тактик группы — использование модифицированной версии AsyncRAT и сервиса Visual Studio Code Remote Tunnels для скрытого удалённого доступа к заражённым системам. Этот метод в последнее время становится всё популярнее среди китайских кибергруппировок.

Основным методом заражения остаётся рассылка фишинговых писем с вредоносными документами или ссылками. При открытии загруженный компонент ANELLDR активирует механизм DLL Sideloading, расшифровывает и загружает ANEL. Также в атаке был задействован модульный бэкдор HiddenFace (он же NOOPDOOR), используемый исключительно группой MirrorFace.

Специалисты ESET признают, что до сих пор остаётся много пробелов в понимании полной картины атаки. Одна из причин — повышенный уровень операционной безопасности MirrorFace. Хакеры активно удаляют доставленные инструменты и файлы, очищают журналы событий Windows и запускают вредоносное ПО в песочнице Windows Sandbox, затрудняя расследование инцидентов.

Кибератаки, такие как AkaiRyū, напоминают о том, что злоумышленники постоянно адаптируются, меняя инструменты, тактики и географию атак, чтобы оставаться незамеченными. Это подчёркивает важность постоянного обновления систем защиты, обучения сотрудников и международного сотрудничества для противодействия всё более изощрённым угрозам . Бдительность и готовность к новым вызовам — ключевые элементы в борьбе с киберпреступностью.