MirrorFace という脅威:強力なカスタム・マルウェアを武器に日本と台湾の組織を狙う

MirrorFace Targets Japan and Taiwan with ROAMINGMOUSE and Upgraded ANEL Malware

2025/05/08 TheHackerNews — MirrorFace として知られる国家主導の脅威アクターが、日本と台湾の政府機関および公的機関を標的とするサイバー・スパイ活動の一環として、ROAMINGMOUSE と呼ばれるマルウェアを展開していることが確認された。2025年3月の時点で Trend Micro が検知した活動は、スピアフィッシングのルアーを用いて、ANEL と呼ばれるバックドアの最新バージョンを配信するものだ。


セキュリティ研究者である Hara Hiroaki は、「このブログで解説した 2025年のキャンペーンにおける ANEL ファイルは、メモリ内で BOF (Beacon Object File) を実行するための、新しいコマンドを実装していた。このキャンペーンでは、SharpHide を利用することで、第2段階のバックドア NOOPDOOR が起動した可能性もある」と述べている

ROAMINGMOUSE and Upgraded ANEL Malware

この中国と連携する脅威アクター (Earth Kasha) は、APT10 内のサブ・クラスターだと評価されている。 2025年3月に ESET が明らかにしたのは、ANEL (別名:UPPERCUT) と連携する Operation AkaiRyu と呼ばれる攻撃キャンペーンが、2024年8月の時点で EU の外交機関を標的としていたことだ。

そしていま、日本と台湾の様々な組織が標的となっている。それが示唆するのは、このハッカー集団が戦略的な目標を達成するために情報窃取を試行し、活動範囲を拡大し続けていることだ。

この攻撃は、Microsoft OneDrive の URL が埋め込まれた、スピアフィッシング・メールから始まり、その URL をクリックすると、ZIP ファイルがダウンロードされる。なお、上記のメールには、正規のアカウントから送信されるものと、侵害されたアカウントから送信されるものがある。

この ZIP アーカイブに取り込まれているのは、マルウェアが仕込まれた Excel 文書と、マクロ対応のドロッパー (コードネーム:ROAMINGMOUSE) であり、ANEL 関連コンポーネントを配信するための経路として機能する。昨年から MirrorFace により、ROAMINGMOUSE が使用されていることは注目に値する。

Hara Hiroaki は、「ROAMINGMOUSE は、埋め込まれた ZIP ファイルを Base64 でデコードし、ディスク上にドロップしてコンポーネントを展開する」と述べている。展開されるコンポーネントには、以下が含まれる。

  • JSLNTOOL.exe/JSTIEE.exe/JSVWMNG.exe (正規のバイナリ)
  • JSFC.dll (ANELLDR)
  • 暗号化された ANEL ペイロード
  • MSVCR100.dll(実行ファイルの正規の DLL 依存関係)

この攻撃チェーンの最終目標は、explorer.exe を使用して正規の実行ファイルを起動し、それを利用することで、悪意の DLL (ANELLDR) をサイドロードすることだ。ANELLDR が担うのは、ANEL バックドアの復号と起動である。

2025年の攻撃キャンペーンで使用された、ANEL アーティファクトで注目すべき点は、BOF (Beacon Object File) のメモリ内での実行をサポートする、新しいコマンドが追加されていることだ。この BOF は、新たなポスト・エクスプロイト機能を、Cobalt Strike エージェントに追加するために設計された、コンパイル済みの C プログラムである。

Trend Micro は、「ANEL ファイルがインストールされた後も、Earth Kasha の背後にいる攻撃者は、バックドア・コマンドを用いてスクリーン・ショットを取得し、被害者の環境を調査していた。この攻撃者は、スクリーン・ショットに加えて、実行プロセスリスト/ドメイン情報などを収集することで、被害者を調査していたようだ」と述べている。

一部のインスタンスでは、オープンソース・ツール SharpHide が利用され、以前の攻撃での使用が確認されている、別のバックドア NOOPDOOR (別名 HiddenFace) の新バージョンが起動されていた。このツールは、DNS over HTTPS (DoH) をサポートし、Command and Control (C2) オペレーション中における IP アドレス検索を隠蔽している。

この研究者は、「依然として Earth Kasha は、活発かつ高度な持続性の脅威であり、2025年3月に検知した最新のキャンペーンでは、台湾と日本の政府機関や公共機関が標的にされていた」と述べている。

特に、ガバナンスに関する機密データ/知的財産/インフラ・データ/アクセス認証情報などの、高価値の資産を保有する組織は、引き続き警戒を怠らず、積極的なセキュリティ対策を実施する必要がある。

MirrorFace (別名:Earth Kasha) による日本と台湾の政府/公的機関への攻撃が観測されたとのことです。今年の1月にも、この APT による日本への攻撃が報じられたばかりですが、手法が少し異なるようです。よろしければ、以下の関連記事も、ご参照下さい。

2025/01/10:日本の政府と民間を狙う MirrorFace の脅威
2025/01/09:MirrorFace が日本を攻撃:2019年から侵害とは
2022/12/15:中国 APT の MirrorFace:参院選 2022 を狙った?