O grupo de ciberespionagem MirrorFace, alinhado à China e também conhecido como Earth Kasha (um subgrupo do APT10), está mirando agências governamentais e instituições públicas no Japão e em Taiwan. Segundo a Trend Micro, essa nova campanha detectada em março de 2025 utiliza iscas de phishing direcionado (spear phishing) para disseminar versões atualizadas de malwares, como o backdoor ANEL e o dropper ROAMINGMOUSE.

Os e-mails maliciosos, por vezes enviados de contas legítimas comprometidas, contêm links para o Microsoft OneDrive, que baixam um arquivo ZIP. Dentro dele há um documento Excel com macros maliciosas, acionando o ROAMINGMOUSE, responsável por decodificar e extrair arquivos adicionais, incluindo um executável legítimo (como JSLNTOOL.exe), o loader ANELLDR (JSFC.dll) e o payload criptografado do ANEL. O objetivo final do ataque é usar o executável legítimo para carregar clandestinamente o ANELLDR, que descriptografa e executa o ANEL na memória. A versão de 2025 desse backdoor inclui um novo comando para executar arquivos BOF (Beacon Object File), ampliando as capacidades pós-exploração com o Cobalt Strike.

Durante a intrusão, os cibercriminosos coletam capturas de tela, informações de processos e dados de domínio das máquinas vítimas. Também foi identificada a possível utilização da ferramenta SharpHide para implantar uma versão atualizada do NOOPDOOR (também conhecido como HiddenFace), que utiliza DNS-over-HTTPS (DoH) para ocultar suas comunicações. Especialistas alertam que organizações com ativos sensíveis, como dados de governo, propriedade intelectual e infraestrutura crítica, devem reforçar suas defesas para não se tornarem alvos desse tipo de ameaça persistente avançada (APT).