MirrorFace 在新的攻击活动中部署 ANEL 和 AsyncRAT

MirrorFace 高级威胁组织发起的恶意软件活动针对欧洲敏感目标，并使用名为 ANEL 的后门。

此次攻击由 ESET 于 2024 年 8 月下旬检测到，攻击针对的是一家欧洲敏感机构，其诱饵与在日本大阪开幕的世界博览会有关。

该活动的代号为“AkaiRyū 行动”（日语中为 RedDragon）。MirrorFace 至少从 2019 年开始活跃，也被称为 Earth Kasha。据评估，它是 APT10 下的一个分支组织。该组织以针对日本实体而闻名。

此次入侵部署了高度定制的 AsyncRAT 和 ANEL 变体（又名 UPPERCUT），后者是之前与 APT10 有关的后门。

ANEL 的使用意义重大，不仅因为它突显了LODEINFO的转变，还因为它凸显了后门在 2018 年末或 2019 年初某个时候停止使用后又重新回归。

ESET 研究员 表示：“我们不知道 MirrorFace 从使用 LODEINFO 切换到 ANEL 有什么特别的原因。我们没有观察到 LODEINFO 在整个 2024 年都在使用，到目前为止，我们也没有看到它在 2025 年被使用。因此，MirrorFace 似乎暂时放弃了 LODEINFO，转而使用 ANEL。”

ESET还指出，AkaiRyū 行动与日本国家警察厅 (NPA) 和国家网络安全事件准备与战略中心 (NCSC) 于今年 1 月初记录的C 行动有重叠。

其他主要变化包括使用修改版的 AsyncRAT 和 Visual Studio Code 远程隧道来建立对受感染机器的隐秘访问，后者已成为多个黑客组织越来越青睐的一种策略。

攻击链涉及使用鱼叉式网络钓鱼诱饵诱骗收件人打开带有陷阱的文档或链接，这些文档或链接会通过 DLL 侧载启动名为ANELLDR的加载程序组件，然后解密并加载 ANEL。此外，还投放了一个名为HiddenFace （又名 NOOPDOOR）的模块化后门，仅由 MirrorFace 使用。

ESET 表示：“要绘制出完整的活动图景，仍有许多缺失的部分。原因之一是 MirrorFace 改进了操作安全性，它变得更加彻底，并通过删除交付的工具和文件、清除 Windows 事件日志以及在 Windows Sandbox 中运行恶意软件来阻碍事件调查。”

技术报告：

https://www.welivesecurity.com/en/eset-research/operation-akairyu-mirrorface-invites-europe-expo-2025-revives-anel-backdoor/

新闻链接：

https://thehackernews.com/2025/03/china-linked-mirrorface-deploys-anel.html

讲述普通人能听懂的安全故事