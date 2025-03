Computerbeveiliger ESET ontdekte een digitale spionage-operatie gericht op Centraal-Europese diplomaten. De booswichten gebruikten daarvoor e-mailberichten rond de aanstaande Expo 2025 in het Japanse Osaka. De MirrorFace-groep, die achter de cyberdreiging zou zitten, richt zich al langer op doelwitten in en rondom Japan.

Bij weten van ESET Research, zo zei het Slovaakse bedrijf in een persbericht, is de nieuw ontdekte cyberspionage-operatie de allereerste waarin de MirrorFace-groep een Europees doelwit viseert. Maar de als Operation AkaiRyū getitelde aanval (Japans voor Rode Draak) staat wel nog in het kader van cyberoperaties gericht op Japan, waarvan de groep haar speerpunt heeft gemaakt: de diplomaten in kwestie reizen communiceerden over Expo 2025, de aanstaande Wereldtentoonstelling die op 13 april in Osaka begint.

Verscheidene technieken

De ontdekte aanval voltrok zich over verscheidene aanvalstechnieken – TTP’s of Tactics, Techniques and Procedures in het jargon – heen. Het begon met een spearphishing-aanval gericht op de diplomaten: een e-mail die verwees naar een eerdere, legitieme interactie tussen de instelling en een Japanse ngo.

Maar een deel van het verder ingezette instrumentarium bleek nieuw, of toch tenminste in de bekende operaties van de aan China gelinkte hackergroep: MirrorFace bleek bijvoorbeeld de Anel- of Uppercut-backdoor te hebben gebruikt, waarvan het gebruik vooral werd gelinkt aan APT10.

Subgroep

Die andere door de Chinese overheid ondersteunde hackergroep, eerder bekend als Red Apollo of Stone Panda, lijkt nu dus minstens samen te werken met MirrorFace. “Het gebruik van Anel bewijst de mogelijke connectie tussen MirrorFace en APT10”, zegt researcher Dominik Breitenbacher van ESET in een persbericht. “We geloven nu dat MirrorFace een subgroep is onder de APT10-paraplu.”