La Agencia Nacional de Policía y el Centro Nacional de Estrategia de Ciberseguridad y Preparación para Incidentes han advertido a las organizaciones japonesas sobre un sofisticado esfuerzo de ciberespionaje respaldado por el estado chino llamado “MirrorFace” destinado a robar tecnología y secretos de seguridad nacional.
Las autoridades japonesas dijeron que el grupo de amenazas persistentes avanzadas (APT) MirrorFace ha estado operativo desde 2019.
“Al dar a conocer el modus operandi de los ciberataques ‘MirrorFace’, el objetivo de esta alerta es sensibilizar a las organizaciones, operadores económicos y particulares sobre las amenazas a las que se enfrentan en el ciberespacio y animarles a adoptar medidas de seguridad adecuadas para evitar los daños. “Las amenazas causadas por los ciberataques se propagan y evitan que se produzcan daños en primer lugar”, se lee en un comunicado de la policía japonesa.
Ciberataques MirrorFace en Japón
Las autoridades japonesas han identificado tres tipos de ataques MirrorFace. La táctica más antigua y duradera utilizada por MirrorFace para robar secretos japoneses fue una elaborada campaña de phishing entre 2019 y 2023 destinada a entregar malware a los grupos de expertos, gobiernos y políticos del país, según el advertencia emitida por la Agencia de Policía Nacional Japonesa y traducido al inglés.
En 2023, MirrorFace se centró en encontrar vulnerabilidades en dispositivos de red en los sectores de la salud, la fabricación, la información y las comunicaciones, la educación y el sector aeroespacial, continuó la policía. MirrorFace aprovechó vulnerabilidades en dispositivos como Fortinet FortiOS y FortiProxy (CVE-2023-28461), Citrix ADC (CVE-2023-27997) y Citrix Gateway (CVE-2023-3519).
Otra campaña de phishing comenzó alrededor de junio de 2024 y utilizó tácticas básicas de phishing contra medios de comunicación, grupos de expertos y políticos japoneses, según la policía. Y desde febrero de 2023 hasta octubre de 2023, se observó que el grupo explotaba la inyección SQL en un servidor público externo para acceder a organizaciones japonesas.
Las revelaciones sobre las actividades de MirrorFace se producen en medio de otros ciberataques patrocinados por China que acapararon titulares contra Empresas de telecomunicaciones estadounidenses y mundialese incluso el Departamento del Tesoro de EE. UU.realizado por otro grupo de APT “Salt Typhoon”.
MirrorFace parece operar como una unidad de guerra cibernética del Ejército Popular de Liberación (EPL), según Mark Bowling, ex agente especial del FBI y actual jefe de seguridad y riesgos de la información en ExtraHop.
“Desde 2019, MirrorFace APT ha empleado sistemáticamente campañas de phishing bien diseñadas y ha utilizado códigos/lógicas armados como LODEINFO y MirrorStealer para robar credenciales, elevar privilegios y exfiltrar datos que podrían usarse para posicionar mejor al EPL en todo el mundo. en caso de hostilidades con Japón”, afirma Bowling.
A medida que las tensiones geopolíticas continúan aumentando en todo el mundo, Bowling espera ver un aumento cada vez mayor de la actividad APT en especie, particularmente de actores estatales que apuntan a Estados Unidos.
“Las consecuencias de estas tensas relaciones en Ucrania, Taiwán y la actual hostilidad de Irán hacia Israel, aunque sean sus representantes, se reflejan ahora cada vez más en campañas digitales agresivas e implacables”, dice Bowling. “No hay duda de que las amenazas de los grupos estatales aumentarán en volumen y sofisticación este año, apuntando a nuestra infraestructura crítica como servicios públicos, telecomunicaciones y atención médica”.