MirrorFace

OrigenChina

Técnicas (MITRE ATT&CK)43

FuenteMITRE ATT&CK

También conocido como:Earth Kasha

Análisis Vexday

MirrorFace é um ator de ciberespionagem alinhado à República Popular da China, identificado pelo MITRE ATT&CK como G1054 e também referenciado como Earth Kasha. Acredita-se que seja um subgrupo sob o guarda-chuva do menuPass, com base em sobreposições de alvos, ferramentas e infraestrutura. Ativo desde pelo menos 2019, o grupo inicialmente concentrou suas operações exclusivamente em organizações japonesas nos setores de mídia, defesa, diplomacia, finanças, manufatura e meio acadêmico, expandindo posteriormente suas operações para alvos na Europa Central, com uso dos malwares LODEINFO, HiddenFace e UPPERCUT. Ao grupo são atribuídas 2 CVEs conhecidas por exploração e 43 técnicas documentadas no framework MITRE ATT&CK.

Técnicas (MITRE ATT&CK) 43

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Reconocimiento

Gather Victim Org Information

Preparación de recursos

Malware Tool

Acceso inicial

Exploit Public-Facing Application Spearphishing Attachment Spearphishing Link

Ejecución

Windows Management Instrumentation Windows Command Shell Visual Basic Malicious File

Acceso a credenciales

LSASS Memory Security Account Manager NTDS

Descubrimiento

System Service Discovery System Network Configuration Discovery Remote System Discovery System Owner/User Discovery Process Discovery System Information Discovery File and Directory Discovery Domain Account Domain Trust Discovery System Language Discovery

Movimiento lateral

Remote Desktop Protocol SMB/Windows Admin Shares

Recolección

Data from Local System Remote Data Staging Local Email Collection Archive via Utility

Comando y control

File Transfer Protocols Proxy

Exfiltración

Exfiltration Over Asymmetric Encrypted Non-C2 Protocol

defense-impairment

Code Signing Password Filter DLL Disable or Modify Tools Clear Windows Event Logs Windows Host Firewall

stealth

Encrypted/Encoded File Masquerade File Type File Deletion Template Injection DLL Impersonation

Vulnerabilidades explotadas 2

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2014-7169CRITICALEPSS 100%KEV CVE-2016-6662EPSS 68%

El grupo MirrorFace usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →