ESETは12月14日(米国時間)、「Unmasking MirrorFace: Operation LiberalFace targeting Japanese political entities|WeLiveSecurity」において、日本の政治団体を標的としたスピアフィッシングキャンペーンを発見したと伝えた。
持続的標的型攻撃(APT: Advanced Persistent Threat)グループとして知られている「MirrorFace」により、2022年7月の日本の参議院選挙に先立つ数週間にスピアフィッシングキャンペーンが展開されていたことが明らかとなった。
ESETのセキュリティ研究チームに特定されたスピアフィッシングキャンペーンは「Operation LiberalFace」と名付けられ、特定の政党の議員が狙われていたことが判明している。
MirrorFaceは、日本に拠点を置く企業や組織を標的とする中国語を話す攻撃グループとされている。日本のターゲットのみに独自開発したとみられている「LODEINFO」と呼ばれるマルウェアを使用し、メディア、防衛関連企業、シンクタンク、外交機関、学術機関などを標的にしていることが報告されている。日本を対象とした諜報活動や重要なファイルを窃取することが目的とみられている。
Operation LiberalFaceのスピアフィッシングメールの中には、日本の特定の政党の広報部からの公式な連絡を装い、参議院選挙に関する依頼が含まれ、著名な政治家の代理人とする送信が確認されている。また、すべてのスピアフィッシングメールに悪意のある添付ファイルが含まれ、実行すると感染したマシンにLODEINFOが展開されることも明らかにされている。
さらに、「MirrorStealer」と名付けられた、これまで文書化されていなかったマルウェアが使われ、ターゲットの認証情報を窃取していたこともわかった。
引き続き、MirrorFaceは日本国内の重要なターゲットを狙い続けるとみられているが、同グループのキャンペーンはやや不注意とされ、痕跡を残したり、さまざまなミスを犯していたりすると分析されている。