El actor de amenaza de estado nación conocido como Reflejo se ha observado desplegar malware denominado Roamingmouse como parte de una campaña de ciber espionaje dirigida contra agencias gubernamentales e instituciones públicas en Japón y Taiwán.
La actividad, detectada por Trend Micro en marzo de 2025, implicó el uso de señuelos de phishing de lanza para entregar una versión actualizada de una puerta trasera llamada Anel.
«El archivo ANEL de la campaña 2025 discutido en este blog implementó un nuevo comando para admitir una ejecución de BOF (archivo de objetos de Beacon) en la memoria», dijo la investigadora de seguridad Hara Hiroaki. «Esta campaña también potencialmente aprovechó Sharphide para lanzar la segunda etapa de puerta trasera Noopdoor».
El actor de amenaza alineado en China, también conocido como Earth Kasha, se evalúa como un subgrupo dentro de Apt10. En marzo de 2025, ESET arrojó luz sobre una campaña denominada Operación Akairyū que se dirigió a una organización diplomática en la Unión Europea en agosto de 2024 con Anel (también conocido como Uppercut).
La orientación de varias entidades japonesas y taiwanesas apunta a una expansión continua de su huella, ya que el equipo de piratería busca realizar robo de información para avanzar en sus objetivos estratégicos.
El ataque comienza con un correo electrónico de phishing de lanza, algunos de los cuales se envían desde cuentas legítimas pero comprometidas, que contiene una URL OneDrive de Microsoft incrustada, que, a su vez, descarga un archivo zip.
El archivo ZIP incluye un documento de Excel con malware y un RoamingMouse RoamingMouse con nombre en código macro que sirve como un conducto para entregar componentes relacionados con ANEL. Vale la pena señalar que RoamingMouse ha sido utilizado por Mirrorface desde el año pasado.
«Roamingmouse luego decodifica el archivo zip incrustado usando Base64, deja caer la cremallera en un disco y expande sus componentes», dijo Hiroaki. Esto incluye –
- Jslntool.exe, jstiee.exe, o jsvwmng.exe (un binario legítimo)
- Jsfc.dll (anelldr)
- Una carga útil de Anel encriptada
- MSVCR100.dll (una dependencia de DLL legítima del ejecutable)
El objetivo final de la cadena de ataque es lanzar el ejecutable legítimo usando Explorer.exe y luego usarlo para colocar la DLL maliciosa, en este caso, Anelldr, que es responsable de descifrar y lanzar la puerta trasera de Anel.
Lo notable del artefacto ANEL utilizado en la campaña 2025 es la adición de un nuevo comando para admitir la ejecución en memoria de los archivos de objetos Beacon (BOF), que se compilan en los programas C diseñados para extender el agente de ataque de Cobalt con nuevas funciones de explotación posterior.
«Después de instalar el archivo ANEL, los actores detrás de Earth Kasha obtuvieron capturas de pantalla utilizando un comando de puerta trasera y examinaron el entorno de la víctima», explicó Trend Micro. «El adversario parece investigar a la víctima mirando a través de capturas de pantalla, ejecutando listas de procesos e información de dominio».
Las instancias seleccionadas también han aprovechado una herramienta de código abierto llamada Sharphide para lanzar una nueva versión de Noopdoor (también conocido como Hiddenface), otra puerta trasera previamente identificada como utilizada por el grupo de piratería. El implante, por su parte, admite DNS-Over-HTTPS (DOH) para ocultar sus búsquedas de dirección IP durante las operaciones de comando y control (C2).
«Earth Kasha continúa siendo una amenaza persistente avanzada activa y ahora está dirigida a agencias gubernamentales e instituciones públicas en Taiwán y Japón en su última campaña que detectamos en marzo de 2025», dijo Hiroaki.
«Las empresas y las organizaciones, especialmente aquellas con activos de alto valor, como datos confidenciales relacionados con la gobernanza, así como la propiedad intelectual, los datos de infraestructura y las credenciales de acceso deben seguir siendo vigilantes e implementar medidas de seguridad proactivas para evitar que la caída víctima de los ataques cibernéticos».