MirrorFace y ROAMINGMOUSE: Nueva campaña de espionaje cibernético en Asia
El grupo de amenazas asociado a un estado-nación, conocido como MirrorFace, ha sido identificado en una nueva campaña de ciberespionaje dirigida a agencias gubernamentales e instituciones públicas en Japón y Taiwán. Según investigaciones de Trend Micro en marzo de 2025, los atacantes utilizaron técnicas de spear-phishing para distribuir una versión actualizada del backdoor ANEL, ahora acompañado por un nuevo malware denominado ROAMINGMOUSE.
Tácticas y herramientas de la campaña
La campaña empleó correos electrónicos de spear-phishing cuidadosamente elaborados para engañar a los objetivos y lograr la ejecución del malware. Los archivos maliciosos, disfrazados como documentos legítimos, contenían:
- Una variante mejorada de ANEL, backdoor conocido por su capacidad de robo de información y ejecución remota de comandos.
- ROAMINGMOUSE, nuevo malware con funcionalidades avanzadas de persistencia y evasión de detección.
Capacidades técnicas de ROAMINGMOUSE
ROAMINGMOUSE presenta características preocupantes desde el punto de vista de la ciberseguridad:
- Mecanismos de inyección en procesos legítimos para evitar sandboxing.
- Comunicación cifrada con servidores C2 (Comando y Control) mediante protocolos que simulan tráfico normal.
- Capacidad de recopilación de credenciales y escalamiento de privilegios.
- Técnicas de living-off-the-land (LOTL) para minimizar su huella en el sistema.
Implicaciones para la seguridad regional
Esta campaña representa un riesgo significativo para:
- Seguridad nacional de los países objetivo, al apuntar específicamente a entidades gubernamentales.
- Protección de datos sensibles, incluyendo posible información clasificada.
- Infraestructuras críticas que podrían verse comprometidas mediante acceso inicial a redes gubernamentales.
Recomendaciones de mitigación
Las organizaciones, especialmente en los sectores público y gubernamental, deberían implementar:
- Programas avanzados de concienciación sobre phishing para empleados.
- Soluciones de detección de comportamiento (EDR/XDR) capaces de identificar técnicas LOTL.
- Segmentación de red para limitar el movimiento lateral.
- Análisis regular de tráfico de red para detectar comunicaciones anómalas con servidores C2.
Para más detalles técnicos sobre esta campaña, consulta el informe completo en Fuente original.
Este caso subraya la evolución constante de las amenazas patrocinadas por estados-nación y la necesidad de adoptar estrategias de defensa proactivas y multicapa en el ámbito de la ciberseguridad institucional.
