קבוצת האקרים סינים בשם MirrorFace מכוונת מתקפות כנגד דיפלומטים באיחוד האירופי. לפי חברת ESET בדוח פעילות APT שלה לתקופה אפריל עד ספטמבר 2024, משמתשים ההאקרים במהלך המתקפה הזו בפיתוי הקשור לתערוכת Expo העולמית הקרובה שתתקיים בשנת 2025 באוסקה יפן. ESET מדגישה כי: "מתקפו אלו מראות שגם בהתחשב במיקוד הגיאוגרפי החדש הזה, נשארת קבוצת MirrorFace ממוקדת ביפן ובאירועים הקשורים אליה."
MirrorFace, המוכרת גם כ- Earth Kasha, הינה חלק מקבוצה הידועה בשם APT10, הכוללת גם קבוצות מישנה בשמות Earth Tengshe ו- Bronze Starlight. הקבוצה ממקדת מתקפות סייבר נגד ארגונים יפניים לפחות מאז 2019, אם כי מסע מתקפות סייבר חדש שנצפה בתחילת 2023 הרחיב את פעילותה לטייוואן והודו. במהלך השנים התפתח ארסנל הנוזקות של קבוצת הסייבר והוא כולל גם דלתות אחוריות כגון ANEL (המכונה UPPERCUT), LODEINFO ו- NOOPDOOR (המכונה HiddenFace), כמו גם גנב אישורים המכונה MirrorStealer.
חברת ESET אמרה ל- The Hacker News כי מתקפות הסייבר של MirrorFace הן ממוקדות ביותר וכי הקבוצה מוציאה לפועל כ- 10 מתקפות סייבר בשנה. המטרה הסופית של מתקפות אלו היא ריגול סייבר וגניבת מידע. עם זאת, אין זו הפעם הראשונה שארגונים דיפלומטיים נמצאים על הכוונת של קבוצות פשיעת סייבר.
במתקפת הסייבר הנוכחית, נשלחו לקורבנות אימיילים דיוג בחנית המכילים קישור לקובץ ארכיון (The EXPO Exhibition in Japan in 2025.zip) המאוחסן ב- Microsoft OneDrive. קובץ הארכיון כלל קובץ קיצור דרך (The EXPO Exhibition in Japan in 2025.docx.lnk), שכאשר הושק, פרס את הנוזקות ANEL ו- NOOPDOOR.
נזכיר, כי ספקי שירותי טלקומוניקציה ורשתות בארה"ב כמו AT&T, Verizon ו- Lumen Technologies היו גם הם למטרה של קבוצת פשיעת סייבר סינית אחרת בשם Salt Typhoon (הידועה גם בשם FamousSparrow ו- GhostEmperor). בעיתון וול סטריט ג'ורנל נאמר כי ההאקרים מינפו את המתקפות הללו כדי לחדור לקווי טלפון סלולריים שבהם השתמשו בכירי ביטחון לאומי, פקידי מדיניות ופוליטיקאים שונים בארה"ב. לאחר מתקפת סייבר זו גם נטען כי בוצעה פריצת סייבר לספקי תקשורת השייכים למדינה אחרת אשר חולקת מידע מודיעיני עם ארה"ב.
