Пока вы занимались настройкой сводных таблиц, MirrorFace уже собрал все данные и сделал скриншоты.

На экране был Excel, но главное происходило за его пределами.

В марте 2025 года специалисты Trend Micro зафиксировали новую волну кибершпионажа, организованную группировкой MirrorFace (она же Earth Kasha, связанная с APT10). В этот раз их мишенями стали государственные и публичные учреждения Японии и Тайваня.

Злоумышленники применили обновлённую версию вредоносной программы ANEL (UPPERCUT), доставляя её через фишинговые письма со ссылками на легитимный OneDrive. Вложения содержали ZIP-архив с Excel-документом и макросами, которые разворачивали полезную нагрузку под названием ROAMINGMOUSE.

Этот зловред расшифровывал встроенный архив, сохранял его на диск и запускал компоненты — в том числе легитимный JSLNTOOL.exe, DLL ANELLDR и шифрованный бэкдор ANEL. Последний запускался через «explorer.exe», что позволяло обходить защитные механизмы. ANELLDR расшифровывал и активировал ANEL.

Впервые ANEL получил поддержку BOF-модулей — компилируемых расширений для Cobalt Strike, что говорит о более продвинутом инструментарии MirrorFace. После установки вирус выполнял команды для снятия скриншотов, сбора информации о процессах и домене. В ряде случаев подключался инструмент SharpHide, запускающий вторую стадию атаки с бэкдором NOOPDOOR (HiddenFace), использующим DNS-запросы через HTTPS (DoH) для скрытности.

Цель кампании — не просто слежка, а масштабный сбор информации о госуправлении, инфраструктуре и интеллектуальной собственности. Эксперты подчеркивают: организациям с высоким уровнем риска следует применять не только стандартные меры безопасности, но и проактивные подходы — мониторинг трафика, контроль доступа и регулярные проверки инфраструктуры.