Las autoridades identificaron tres tipos de ataques asociados con MirrorFace. Primeramente, han ejecutado una extensa campaña de phishing entre 2019 y 2023, que ha sido la táctica principal para obtener secretos de Japón. Esta estrategia ha estado orientada a targeting grupos de expertos, gobiernos, y figuras políticas del país. En 2023, MirrorFace empezó a enfocar sus esfuerzos en descubrir vulnerabilidades en dispositivos de red en sectores críticos como la salud, manufactura, telecomunicaciones, educación y aeroespacial. Se han reportado ataques exitosos que explotan vulnerabilidades en dispositivos como Fortinet FortiOS, Citrix ADC y Citrix Gateway.
Otra campaña de phishing de MirrorFace, que comenzó en junio de 2024, utilizó técnicas más básicas contra los medios de comunicación y personalidades políticas. Entre febrero y octubre de 2023, el grupo utilizó inyecciones SQL para acceder a servidores externos de organizaciones japonesas. Esta actividad maliciosa de MirrorFace se produce en un contexto más amplio de ciberataques apoyados por el gobierno chino, con otros grupos como APT «Salt Typhoon» atacando entidades estadounidenses como empresas de telecomunicaciones y el Departamento del Tesoro.
Según Mark Bowling, un ex agente especial del FBI y actual director de riesgos y seguridad de la información en ExtraHop, MirrorFace parece operar como una unidad de guerra cibernética del Ejército Popular de Liberación (EPL). Desde su inicio, han llevado a cabo campañas de phishing sofisticadas y utilizado herramientas como LODEINFO y MirrorStealer para recolectar credenciales, exfiltrar datos y mejorar la posición del EPL en caso de un conflicto armado con Japón.
Bowling predice un aumento en la actividad de grupos APT, especialmente en el contexto de tensiones geopolíticas crecientes en todo el mundo. Estas tensiones, que incluyen conflictos en Ucrania y Taiwán y la enemistad de Irán hacia Israel, se traducen en campañas cibernéticas más agresivas. Bowling asegura que la amenaza de los grupos respaldados por estados-nación aumentará no sólo en volumen, sino también en sofisticación, con un enfoque particular en infraestructuras críticas como servicios públicos, telecomunicaciones y atención médica.
En general, la alerta sobre MirrorFace es un llamado a la acción para que las organizaciones aumenten sus medidas de ciberseguridad y se preparen para afrontar las amenazas cibernéticas cada vez más complejas y bien diseñadas. Las campañas de phishing y el uso de inyecciones SQL resaltan la importancia de la defensa cibernética y la preparación ante posibles daños. La situación refleja cómo los actores estatales están utilizando ciberespacio para ganar ventajas estratégicas, y Japón deberá adoptar una postura proactiva para proteger sus secretos tecnológicos y su seguridad nacional. La creciente preocupación sobre el ciberespionaje y los ataques digitales subraya la necesidad imperiosa de fortalecer la ciberseguridad en esta era de creciente digitalización y conectividad global.
Enlace de la fuente, haz clic para tener más información