Thought Leadership
Im Jahr 2024 entdeckten Forscher von ESET eine neue Angriffswelle, bei der die Hackergruppe MirrorFace ihre Angriffe auf ein europäisches Ziel ausrichtete.
Bisher war die Gruppe vor allem für Angriffe auf japanische Organisationen bekannt, doch nun geriet erstmals eine diplomatische Einrichtung in Mitteleuropa in den Fokus der Cyberkriminellen. Ihre Methode: Gezieltes Phishing, das die Opfer in eine Falle lockte.
Phishing als Türöffner für Schadsoftware
Die Angreifer setzten auf eine besonders raffinierte Taktik. Sie verschickten Mails, die sich auf frühere, legitime E-Mail-Korrespondenzen über die Expo 2025 in Japan bezogen und anboten, weitere Informationen über das Event zu teilen. Für die Empfänger schien es sich um eine vertraute, unschädliche Nachricht zu handeln. Doch wer auf den Link in der E-Mail klickte, landete in einem gefährlichen Netzwerk, das Schadsoftware auf den betroffenen Geräten installierte. Die ESET-Forscher berichten, dass die Hacker dadurch eine Spionagesoftware einschleusten, die es ihnen ermöglichte, das Zielsystem aus der Ferne zu kontrollieren.
Dominik Breitenbacher, ein ESET-Forscher, erklärt dazu: „Unseres Wissens nach ist dies das erste und bisher einzige Mal, dass MirrorFace eine Einrichtung in Europa ins Visier genommen hat. Zuvor konzentrierten sich die Kriminellen auf Cyberspionage gegen japanische Organisationen. MirrorFace hatte es mit seinen Angriffen auf persönliche Informationen der Mitarbeiter abgesehen. Ob Daten gestohlen wurden, ist nicht bekannt.“
Missbrauch der Windows-Sandbox
Was diesen Angriff besonders perfide macht, ist der Einsatz einer speziellen Technik, die in der Cyberkriminalität bislang nur selten angewendet wurde. Die Hacker missbrauchten die Windows-Sandbox, eine isolierte Umgebung, die normalerweise dazu dient, Anwendungen auf potenziell schädliche Effekte zu testen, ohne dass das eigentliche Betriebssystem gefährdet wird. In diesem Fall spiegelten die Angreifer das gesamte Benutzerverzeichnis in die Sandbox und steuerten von dort aus Daten ab. Besonders problematisch dabei: Die Daten in dieser Umgebung werden beim Schließen der Sandbox unwiderruflich gelöscht, was es für Sicherheitslösungen nahezu unmöglich machte, die Schadsoftware zu erkennen und zu analysieren.
Die MirrorFace-Gruppe zeigte bei ihrem Angriff ein hohes Maß an Professionalität. Sie hinterließen kaum Spuren und verschleierten ihre Aktivitäten durch das systematische Löschen von Windows-Ereignisprotokollen. So verschafften sich die Hacker unbemerkt Zugang zu den betroffenen Systemen, ohne dass ihre Spuren sofort erkennbar waren.
Die ESET-Forscher benannten diesen Vorfall als „Operation AkaiRyū“, was auf Japanisch „Roter Drache“ bedeutet – eine Anspielung auf die chinesische Herkunft der Gruppe und die technische Raffinesse ihrer Angriffe.
Eine der verwendeten Schadsoftware-Komponenten war der Remote Access Trojaner (RAT) „AsyncRAT“, mit dem die Angreifer das kompromittierte System aus der Ferne steuern konnten. Doch damit nicht genug: Sie setzten auch die Backdoor „ANEL“ ein, die es ihnen ermöglichte, auf den betroffenen Geräten zusätzliche Schadsoftware nachzuladen. Interessanterweise wurde die Entwicklung von ANEL bereits vor Jahren eingestellt, doch nun scheint sie wiederverwendet worden zu sein. Die Backdoor gehört zum Repertoire der berüchtigten APT-Gruppe „APT10“, die ebenfalls mit China in Verbindung steht.
„Wir haben starke Hinweise darauf, dass es sich bei MirrorFace um eine Untergruppe von APT10 handelt. Sie verwendet teilweise die gleichen Werkzeuge und verfolgt ähnliche Ziele. Auch der Code in den Schadprogrammen ist sehr ähnlich“, so Dominik Breitenbacher.
Ein neuer Angriffshorizont für MirrorFace
Der Fall zeigt nicht nur die steigende Raffinesse von Hackergruppen wie MirrorFace, sondern auch, wie wichtig es ist, Sicherheitsmechanismen kontinuierlich weiterzuentwickeln. Die Angreifer nutzen immer ausgeklügeltere Methoden, um ihre Ziele zu erreichen, und verschleiern ihre Aktivitäten immer mehr, sodass es für Unternehmen und Institutionen immer schwieriger wird, sich gegen solche Bedrohungen zu wappnen. Es bleibt abzuwarten, ob MirrorFace auch künftig verstärkt europäische Ziele ins Visier nimmt oder ob die Gruppe ihre Aktivitäten auf andere Kontinente ausdehnen wird.
