Cyberthreat.id – Perusahaan keamanan siber ESET, mengungkapkan bahwa grup peretasan yang dilacak sebagai MirrorFace telah menargetkan politisi Jepang selama berminggu-minggu sebelum pemilihan House of Councilors pada Juli 2022, menggunakan pencuri kredensial yang sebelumnya tidak berdokumen bernama MirrorStealer.

Dikutip dari Bleeping Computer, ESET mengatakan, para peretas menyebarkan malware pencuri informasi baru bersama dengan backdooryang dimiliki grup, LODEINFO, yang berkomunikasi dengan server C2 yang diketahui milik infrastruktur APT10.

Sementara itu, laporan Oktober 2022 oleh Kaspersky menggambarkan penerapan LODEINFO yang ekstensif terhadap target Jepang profil tinggi dan menyoroti pengembangan konstan yang dilakukan untuk meningkatkan backdoor khusus.

ESET menjelaskan, grup peretas MirrorFace (APT10 dan Cicada) mulai mengirim email spear-phishing ke target mereka pada 29 Juni 2022, berpura-pura menjadi agen humas dari partai politik penerima, meminta mereka untuk memposting file video terlampir di media sosial.

Bahkan, dalam kasus lain, pelaku ancaman menyamar sebagai kementerian Jepang, melampirkan dokumen umpan yang mengekstrak arsip WinRAR di latar belakang. Arsip tersebut berisi salinan terenkripsi dari malware LODEINFO, pemuat DLL berbahaya, dan aplikasi tidak berbahaya (K7Security Suite) yang digunakan untuk pembajakan perintah pencarian DLL.

APT10 menggunakan LODEINFO untuk menerapkan MirrorStealer ('31558_n.dll') pada sistem yang disusupi. MirrorStealer menargetkan kredensial yang disimpan di browser web dan klien email, termasuk 'Becky!', klien email yang populer di Jepang.

“Ini menunjukkan bahwa MirrorStealer mungkin dikembangkan secara eksplisit untuk operasi APT10 yang berfokus di Jepang,” kata ESET.

ESET mengatakan, semua kredensial yang dicuri disimpan dalam file txt di direktori TEMP dan kemudian menunggu LODEINFO mengirimnya ke C2, karena MirrorStealer tidak mendukung eksfiltrasi data sendiri. LODEINFO juga digunakan sebagai jembatan penghubung antara C2 dan MirrorStealer, untuk menyampaikan perintah kepada pencuri info

Analis ESET mengamati LODEINFO menyampaikan perintah untuk memuat MirrorStealer pada memori sistem yang dilanggar, menyuntikkannya ke dalam proses cmd.exe yang baru muncul dan menjalankannya.

“Ada tanda-tanda bahwa operator jarak jauh mencoba mengekstrak cookie browser menggunakan MirrorStealer, tetapi kembali menggunakan LODEINFO untuk tindakan ini, karena pencuri info baru tidak mendukung fungsi ini,” kata ESET.

APT10 tidak terlalu berhati-hati dalam kampanye ini, gagal menghapus semua jejak aktivitasnya di komputer yang dilanggar dan meninggalkan file teks MirrorStealer yang berisi kredensial yang terkumpul. Selain itu, analis ESET memperhatikan bahwa peretas mengeluarkan perintah dengan kesalahan ketik ke LODEINFO dalam beberapa kasus, menunjukkan bahwa aspek teknis operasi lebih manual daripada yang diharapkan dari grup APT.