Было замечено, что китайская группа кибершпионажа, известная как MirrorFace, нацелена на японские политические организации в преддверии выборов в Палату советников.
В рамках данной кампании для доставки вредоносного ПО, использовались фишинговые электронные письма, а образец второго этапа наблюдался при подключении к инфраструктуре управления и контроля.
«Одно из фишинговых писем, отправленных в ходе операции LiberalFace, выдавало себя за официальное сообщение отдела по связям с общественностью определенной японской политической партии, содержащее запрос, связанный с выборами в Палату советников, и якобы было отправлено от имени известного политика», — ESET. объясняет.
Все электронные письма содержали вредоносное вложение, которое развертывало LodeInfo на целевых машинах, но в атаке также использовалось дополнительное вредоносное ПО. Вредоносное ПО, получившее название MirrorStealer и ранее не задокументированное, предназначено для кражи учетных данных для входа в систему.
MirrorStealer, похититель учетных данных, также используемый в этой кампании, был разработан для кражи учетных данных из браузеров, почтовых клиентов и других приложений, включая Becky, почтовый клиент, доступный только в Японии.
«Электронные письма ясно указывают на то, что хакеры искали возможность атаковать политические организации. Кроме того, определенный контент в электронном письме указывает на то, что целью были члены определенной политической партии», — отмечает ESET.
