MirrorFace đã khai thác các lỗ hổng bảo mật trên các sản phẩm Array AG và FortiGate để phát tán mã độc mang tên NOOPDOOR.
NOOPDOOR là một shellcode được nhúng vào các ứng dụng hợp pháp trên hệ thống với hai biến thể dưới dạng file .XML và .DLL. Mặc dù khác nhau về cách xâm nhập, cả hai biến thể đều có chức năng giống nhau, cho phép nhóm tấn công thiết lập kết nối qua cổng 443 và cổng 47000 để tải xuống file và thực thi các câu lệnh từ xa.
Sau khi phát tán mã độc, MirrorFace tiến hành các hoạt động bất hợp pháp như truy cập vào thông tin xác thực, phát tán mã độc đến các thiết bị khác trong mạng cục bộ, theo dõi và trích xuất thông tin người dùng. Ngoài ra, nhóm này còn sử dụng công cụ GO Simple Tunnel và khai thác MSBuild để thực thi mã độc.
Trước nguy cơ từ chiến dịch tấn công này, Ngày 20/8/2024, UBND xã Lạc Đạo ban hành công văn số 133/CV-UBND chỉ đạo yêu cầu các đơn vị, địa phương trên địa bàn thực hiện các biện pháp khẩn cấp sau:
Những biện pháp này nhằm đảm bảo an toàn cho hệ thống thông tin chung của huyện và các cơ quan, đơn vị trên địa bàn, đồng thời hạn chế tối đa nguy cơ bị tấn công mạng từ nhóm APT nguy hiểm này.