Pesquisadores de segurança revelaram detalhes sobre uma campanha de malware conduzida pelo grupo MirrorFace, alinhado à China. O ataque, detectado pela ESET em agosto de 2024, teve como alvo uma instituição diplomática da Europa Central, utilizando o backdoor ANEL. A operação foi nomeada Operation AkaiRyū (“Dragão Vermelho” em japonês). Historicamente focado em entidades japonesas, o grupo expandiu sua atuação ao atacar uma organização europeia, sinalizando uma mudança em sua estratégia. 

O ataque envolveu o uso de uma versão personalizada do AsyncRAT e do ANEL (também conhecido como UPPERCUT), um backdoor anteriormente vinculado ao grupo APT10. A reintrodução do ANEL indica uma possível substituição do LODEINFO, ferramenta que não foi mais observada desde 2024. A ESET identificou semelhanças entre a Operation AkaiRyū e a Campaign C, documentada no início de 2025 pela Agência Nacional de Polícia do Japão (NPA) e pelo Centro Nacional de Estratégia e Prontidão para Incidentes Cibernéticos (NCSC). O grupo utilizou o Visual Studio Code Remote Tunnels para manter acesso oculto às máquinas infectadas, uma técnica que tem sido adotada por diversos grupos de hackers chineses.

Os ataques foram realizados por meio de spear-phishing, enganando as vítimas para abrir documentos ou links maliciosos. Esse método carregava um componente chamado ANELLDR, responsável por descriptografar e ativar o ANEL. Além disso, o malware HiddenFace (NOOPDOOR), exclusivo do MirrorFace, também foi implantado. A investigação enfrenta desafios devido às práticas avançadas de segurança operacional do grupo. Os hackers apagam rastros, como ferramentas entregues, arquivos e logs de eventos do Windows, além de executar malwares em ambientes isolados como o Windows Sandbox. Esses fatores dificultam uma análise mais profunda das atividades do MirrorFace.