כנופיית ההאקרים MirrorFace מכוונת מתקפות סייבר כלפי פוליטיקאים יפנים כבר במשך זמן רב, עוד לפני הבחירות לבית חברי המועצה ביולי 2022, תוך שימוש בנוזקת גניבת אישור בשם MirrorStealer. מערך מתקפות סייבר זה התגלה על ידי חברת האנטי וירוס ESET, שהאנליסטים שלה מדווחים שהם יכולים להציג ראיות הודות לטעויות תפעוליות שעשו ההאקרים בהשארת עקבות במהלך המתקפות.
ההאקרים פרסו את הנוזקה לגניבת מידע יחד עם דלת אחורית – LODEINFO, שתקשרה עם שרת C2 (תשתית פיקוד ובקרה – Command and Control הידועה גם בשם C2 או C&C היא מערכת הכלים והטכניקות שבהן משתמשים האקרים כדי לשמור על תקשורת עם מכשירים שנפגעו בעקבות ניצול ראשוני) הידוע כשייך לתשתית APT10 (קבוצת ריגול סייבר שמקורה בסין). דו"ח של חברת קספרסקי מאוקטובר 2022 תיאר פריסה נרחבת של LODEINFO נגד מטרות יפניות בעלות פרופיל גבוה והדגיש את הפיתוח המתמיד שנכנס לשיפור הדלת האחורית המותאמת אישית.
חברי כנופיית ההאקרים MirrorFace החלו לשלוח הודעות דיוג ליעדים ב- 29 ביוני 2022, כשהם מעמידים פנים שהם סוכני יחסי ציבור מהמפלגה הפוליטית של הנמען וביקשו ממנו לפרסם ברשתות החברתיות קבצי הווידאו שצירפו להודעה. במקרים אחרים, התחזו ההאקרים למשרד יפני, תוך שהם מצרפים ברקע מסמכי הטעיה המחלצים תיקיות WinRAR אשר מכילות עותק מוצפן של נוזקת הדלת האחורית LODEINFO, טוען DLL זדוני ויישום תמים (K7Security Suite) המשמש לחטיפת DLL. זוהי אותה שרשרת מתקפה חמקנית שקספרסקי תיארה בדו"ח שלה, אשר טוענת את הדלת האחורית ישירות בזיכרון.
נוזקת MirrorStealer מתמקדת באישורים המאוחסנים בדפדפנים ובלקוחות דוא"ל, כולל Becky! שהינו לקוח דוא"ל פופולרי ביפן. הדבר מצביע על כך שייתכן כי MirrorStealer פותחה במפורש עבור פעולות סייבר הממוקדות ביפן. כל האישורים הגנובים מאוחסנים בקובץ txt בספריית TEMP ואז ממתינים ש- LODEINFO תשלח אותם ל- C2, מכיוון ש- MirrorStealer אינה תומכת בחילוץ נתונים בפני עצמו. LODEINFO משמשת גם כגשר המקשר בין ה- C2 ל- MirrorStealer כדי להעביר אליה פקודות.
האנליסטים של ESET הבחינו ב- LODEINFO מעביר פקודות לטעינת MirrorStealer בזיכרון של המערכת שנפרצה, מחדיר אותו לתהליך cmd.exe שהוקם ומפעיל אותו. יתרה מכך, התגלו סימנים לכך שהמפעיל המרוחק ניסה לסנן קובצי Cookie של הדפדפן באמצעות MirrorStealer, אך חזר להשתמש ב- LODEINFO עבור פעולה זו, מכיוון ש- MirrorStealer אינה תומכת בפונקציה זו. ההאקרים ככל הנראה לא היו זהירים במיוחד במערך מתקפות סייבר זה, שכן הם כשלו בהסרת כל עקבות הפעילות שלהם במחשבים שנפרצו והותירו מאחור את קובץ הטקסט של MirrorStealer המכיל את האישורים שנאספו. בנוסף, שמו לב האנליסטים של ESET שההאקרים הוציאו פקודות עם שגיאות הקלדה ל- LODEINFO במספר מקרים, מה שמצביע על כך שההיבט הטכני של הפעולה ידני יותר מהצפוי.
