Porta del darrere EdgeStepper
Un actor d'amenaces alineat amb la Xina conegut com PlushDaemon ha estat vinculat a una porta del darrere de xarxa basada en Go recentment descoberta anomenada EdgeStepper, una eina dissenyada per donar suport a operacions d'adversari-in-the-middle (AitM). En manipular el trànsit de xarxa a nivell de DNS, aquest grup ha ampliat la seva capacitat per interceptar i redirigir fluxos de dades per a campanyes d'intrusions dirigides a múltiples regions.
Taula de continguts
EdgeStepper: Redirecció del trànsit a una infraestructura maliciosa
EdgeStepper actua com un mecanisme de segrest a nivell de xarxa. Un cop desplegat, redirigeix cada sol·licitud DNS a un node extern maliciós. Aquesta manipulació desvia el trànsit destinat a una infraestructura legítima d'actualització de programari i, en canvi, el reenvia als sistemes sota el control de l'atacant.
Internament, l'eina funciona a través de dos mòduls principals. El Distribuïdor resol l'adreça del node DNS maliciós (per exemple, test.dsc.wcsset.com), mentre que el Reglador configura regles de filtratge de paquets mitjançant iptables per fer complir la redirecció. En alguns casos, el node DNS i el node de segrest són el mateix, cosa que fa que el servei DNS retorni la seva pròpia adreça IP durant el procés de suplantació d'identitat.
Operacions a llarg termini i segmentació global
Actiu des de com a mínim el 2018, PlushDaemon s'ha centrat en organitzacions dels Estats Units, Nova Zelanda, Cambodja, Hong Kong, Taiwan, Corea del Sud i la Xina continental. Les seves activitats es van informar formalment per primera vegada el gener del 2025 durant una investigació sobre un compromís de la cadena de subministrament que implicava el proveïdor de VPN sud-coreà IPany. Aquell incident va revelar com els atacants van desplegar l'implant multifuncional SlowStepper contra una empresa de semiconductors i una empresa de desenvolupament de programari no identificada.
Entre les altres víctimes identificades en investigacions posteriors hi ha una universitat de Pequín, un fabricant d'electrònica de Taiwan, una empresa d'automoció i una sucursal regional d'una empresa manufacturera japonesa. Els analistes també van registrar més activitat a Cambodja el 2025, on dues organitzacions més, una del sector de l'automoció i una altra vinculada a un fabricant japonès, van ser objectiu de SlowStepper.
Intoxicació per AitM: Estratègia d’entrada principal de PlushDaemon
El grup depèn en gran mesura de l'enverinament per AitM com a tècnica d'intrusió inicial, una tendència cada cop més compartida entre altres clústers APT afiliats a la Xina com ara LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood i FontGoblin. PlushDaemon inicia la seva cadena d'atac comprometent un dispositiu de xarxa perimetral a través del qual és probable que la víctima es connecti. El compromís normalment prové de vulnerabilitats sense pegats o d'una autenticació feble.
Un cop el dispositiu està sota control, s'instal·la EdgeStepper per manipular el trànsit DNS. El node DNS maliciós avalua les sol·licituds entrants i, quan detecta dominis vinculats a actualitzacions de programari, respon amb l'adreça IP del node segrestador. Aquesta configuració permet el lliurament maliciós de càrregues útils sense aixecar sospites immediatament.
Canals d’actualització segrestats i la cadena de desplegament
La campanya de PlushDaemon inspecciona específicament els mecanismes d'actualització utilitzats per diverses aplicacions xineses, inclòs Sogou Pinyin, per redirigir el trànsit d'actualització legítim. Mitjançant aquesta manipulació, els atacants distribueixen una DLL maliciosa anomenada LittleDaemon (popup_4.2.0.2246.dll), que serveix com a implant de primera fase. Si el sistema encara no allotja la porta del darrere SlowStepper, LittleDaemon contacta amb el node atacant i recupera un programa de descàrrega anomenat DaemonicLogistics.
La funció de DaemonicLogistics és senzilla: descarregar i executar SlowStepper. Un cop actiu, SlowStepper ofereix una àmplia gamma de capacitats que inclouen la recopilació de detalls del sistema, l'adquisició de fitxers, l'extracció de credencials del navegador, l'extracció de dades de múltiples aplicacions de missatgeria i l'autoeliminació si cal.
Capacitats ampliades mitjançant implants coordinats
La funcionalitat combinada d'EdgeStepper, LittleDaemon, DaemonicLogistics i SlowStepper equipa PlushDaemon amb un conjunt complet d'eines capaç de comprometre organitzacions de tot el món. El seu ús coordinat proporciona al grup accés persistent, capacitats de robatori de dades i una infraestructura flexible per a operacions interregionals a llarg termini.
Observacions clau
Les operacions de PlushDaemon revelen diversos temes consistents. El grup depèn en gran mesura de l'enverinament per adversari en el mig com a mètode preferit per obtenir un punt de suport inicial, utilitzant-lo per interceptar i redirigir el trànsit a la vora de la xarxa. Un cop un objectiu es veu compromès, l'actor de l'amenaça depèn de SlowStepper com el seu principal implant post-intrusió, aprofitant les seves àmplies funcions de recopilació de dades i reconeixement del sistema. L'eficàcia d'aquest flux de treball es veu reforçada per la capacitat d'EdgeStepper per manipular les respostes DNS, cosa que permet als atacants desviar silenciosament el trànsit legítim d'actualització de programari cap a la seva pròpia infraestructura.
