En el dinámico y amenazante panorama de la ciberseguridad internacional, el grupo conocido como MirrorFace ha volcado su mirada hacia países clave del Asia-Pacífico como Japón y Taiwán. Identificado como un actor respaldado por el estado y alineado con China, este conjunto de hackers, reconocido también como Earth Kasha y vinculado al subgrupo APT10, ha intensificado recientemente su campaña de espionaje cibernético utilizando un conjunto de herramientas digitales altamente sofisticadas. Entre ellas destacan el malware ROAMINGMOUSE y una versión actualizada del backdoor denominado ANEL, empleado para infiltrar y controlar sistemas en objetivos estratégicos. La expansión de MirrorFace en Japón y Taiwán no es una sorpresa para los expertos en inteligencia cibernética, dado que ambos países cuentan con infraestructura clave, instituciones gubernamentales de alto perfil y un ecosistema tecnológico vital para la economía regional y global. La campaña detectada en marzo de 2025 por la firma Trend Micro revela un enfoque meticuloso y persistente, canalizado a través de técnicas de spear-phishing, un método que involucra el envío de correos electrónicos altamente dirigidos y personalizados para engañar al usuario y lograr la instalación inicial del código malicioso.
Lo que distingue a esta operación de otras es el uso de un archivo incrustado alojado en la plataforma legítima Microsoft OneDrive, un ejemplo claro del aprovechamiento de servicios confiables para evadir la detección. La víctima recibe un correo que contiene un enlace a un archivo ZIP, dentro del cual se encuentra un documento de Excel malicioso acompañado por un dropper con macros llamado ROAMINGMOUSE. Este dropper actúa como un centro de distribución, descifrando información codificada en Base64 que al desplegarse genera una variedad de componentes relacionados con el malware ANEL. Entre los elementos que se extraen en este proceso figuran ejecutables legítimos que sirven como fachadas para la ejecución del código malicioso, así como bibliotecas DLL necesarias para cargar el backdoor y facilitar su funcionamiento sin despertar sospechas. La técnica de sideloading empleada, donde un ejecutable auténtico es utilizado para cargar una librería infectada, representa una táctica avanzada que permite operar bajo el radar de las soluciones tradicionales de seguridad.
La versión de ANEL utilizada en esta campaña introduce una novedad significativa: la capacidad para ejecutar en memoria código específico conocido como Beacon Object Files (BOFs). Estos pequeños programas compilados en C permiten ampliar las funcionalidades del agente de post-explotación Cobalt Strike, una herramienta frecuentemente asociada con actores maliciosos para realizar movimientos laterales, recopilación de datos y control remoto de los sistemas comprometidos. Esta mejora representa un salto cualitativo en las capacidades operativas de MirrorFace, facilitando un control más profundo y sutil sobre los dispositivos afectados. Otro aspecto destacable es la integración ocasional del software SharpHide para lanzar la segunda etapa del backdoor NOOPDOOR, también conocido como HiddenFace, el cual ha sido identificado previamente en actividades relacionadas con este grupo. Este implante avanzado soporta DNS sobre HTTPS, una tecnología empleada para ocultar la resolución de nombres de dominio durante las comunicaciones con su servidor de comando y control, dificultando así su detección y bloqueo por parte de las defensas perimetrales y los sistemas basados en red.
Los objetivos principales de esta operación son agencias gubernamentales y organizaciones públicas en Japón y Taiwán, sectores considerados estratégicos por la información valiosa que manejan. La obtención de datos relacionados con gobernanza, propiedad intelectual, infraestructura y credenciales de acceso conforma un activo de gran valor para quienes buscan influir en la política, la economía y la seguridad regional. Tras la instalación del malware, los operadores acceden a funcionalidades avanzadas para recolectar evidencia visual mediante capturas de pantalla, examinar los procesos activos y analizar información sobre el entorno de la víctima. Estas acciones permiten una evaluación detallada que incrementa la eficacia y alcance de la intrusión, destacando el nivel de sofisticación y planificación que caracteriza a MirrorFace. La relación con anteriores campañas también aporta contexto sobre la evolución de las tácticas.
En agosto de 2024, una operación bautizada como AkaiRyū fue desvelada por la firma ESET, revelando el uso inicial del backdoor ANEL contra entidades diplomáticas en la Unión Europea. La continuidad y adaptación de estas herramientas en el presente escenario subrayan la persistencia y capacidad de aprendizaje de este grupo, que ajusta su arsenal para enfrentar contramedidas y explorar nuevas oportunidades de infiltración. Frente a esta amenaza, la recomendación para las organizaciones y entes gubernamentales de las regiones afectadas y más allá es fortalecer sus defensas implementando una estrategia de seguridad en varios niveles. La vigilancia constante de correos electrónicos sospechosos, la restricción del uso de macros en documentos provenientes de fuentes externas, así como el monitoreo continuo de privilegios y ejecuciones inusuales en el sistema constituyen medidas esenciales. Además, es fundamental emplear soluciones de seguridad avanzadas que detecten comportamientos anómalos y patrones característicos de estos tipos de malware, incluyendo técnicas de análisis de memoria para identificar la carga y ejecución de BOFs.
![This $0.0003 AI Crypto Is Stealing the Spotlight [Best AI Crypto to Buy in 2025]](/images/007DD856-AF10-4AC6-BA10-46D0EC507E0A)