Национальное полицейское управление Японии (NPA) и Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) связывают продолжительную кампанию кибератак, направленную на японские организации и частных лиц с 2019 года, со связанной с Китаем группировкой MirrorFace, также известной как Earth Kasha.
Целью атак была кража конфиденциальной информации, касающейся национальной безопасности Японии и передовых технологий. MirrorFace, как полагают, является подгруппой спонсируемого государством китайского хакерского коллектива APT10 , известного использованием вредоносных инструментов, таких как ANEL, LODEINFO и NOOPDOOR.
Власти отметили, что MirrorFace часто использовала передовые методы, такие как выполнение вредоносного ПО в Windows Sandbox, виртуализированной среде, которая предотвращает постоянные заражения. Этот метод позволял вредоносному ПО работать незамеченным антивирусными инструментами и стирать любые следы при перезагрузке системы.
NPA связало MirrorFace с более чем 200 киберинцидентами за пятилетний период, затронувшими правительственные агентства, оборонные организации, центры космических исследований и частные фирмы, занимающиеся передовыми технологиями.
Среди известных инцидентов, связанных с подобной тактикой, можно назвать кибератаку на Японское агентство аэрокосмических исследований (JAXA) и инцидент с вирусом-вымогателем, нарушивший работу порта Нагоя в 2023 году.
