中國駭客MirrorFace鎖定臺灣、日本，散布惡意軟體RoamingMouse、Anel

隸屬於APT10旗下、匿稱為MirrorFace、Earth Kasha的中國駭客組織，長期鎖定日本企業組織發動攻擊，但傳出在去年8月針對中歐外交單位下手後，這些駭客近期也將目標轉向臺灣。

資安業者趨勢科技指出，他們看到這些駭客從今年3月開始從事新的攻擊行動，藉由網路釣魚攻擊散布後門程式Anel，針對臺灣及日本的政府機關、公共機構而來，主要目的可能是竊取機密資料。

針對駭客接觸受害者的過程，他們假借要求應徵，或是提供出國考察報告的名義寄送釣魚郵件，而這些郵件都來自遭到入侵的帳號，內容都嵌入OneDrive連結，一旦收信人點選，電腦就會下載帶有惡意Excel檔案的ZIP檔，研究人員將這批Excel檔稱為RoamingMouse。若是收信人依照指示啟用巨集，這些惡意Excel檔案會透過巨集，於受害電腦載入Anel的元件。

研究人員指出，駭客的手法與去年有所不同，包含從Word檔案更換為Excel檔案，其惡意行為的觸發，也從必須透過滑鼠移動（MouseMove），改為要受害者點選，但為何如此調整，研究人員並未說明。

附帶一提的是，RoamingMouse若是在受害電腦偵測到McAfee防毒軟體，就會調整運作的模式，在啟動資料夾產生批次檔，並以特定參數執行檔案總管。

在成功於受害電腦植入Anel後，駭客便會下達命令截取螢幕畫面，並偵察受害環境，若是確認是想要下手的目標，他們才會部署第2階段的後門程式NoopDoor。而與先前攻擊行動出現的惡意軟體最顯著的差異，在於這次駭客於NoopDoor導入了DNS over HTTPS（DoH），使得後門與C2之間的通訊更為隱密。