Stražnja vrata EdgeSteppera
Kineski akter prijetnje poznat kao PlushDaemon povezan je s novootkrivenim mrežnim backdoorom temeljenim na Gou pod nazivom EdgeStepper, alatom dizajniranim za podršku operacijama protivnika u sredini (AitM). Manipuliranjem mrežnog prometa na razini DNS-a, ova je grupa proširila svoju sposobnost presretanja i preusmjeravanja tokova podataka za ciljane kampanje upada u više regija.
Sadržaj
EdgeStepper: Preusmjeravanje prometa na zlonamjernu infrastrukturu
EdgeStepper djeluje kao mehanizam za otimanje mrežnog sustava. Nakon implementacije, preusmjerava svaki DNS zahtjev na vanjski zlonamjerni čvor. Ova manipulacija preusmjerava promet namijenjen legitimnoj infrastrukturi za ažuriranje softvera i umjesto toga ga prosljeđuje sustavima pod kontrolom napadača.
Interno, alat djeluje putem dva primarna modula. Distributer razrješava adresu zlonamjernog DNS čvora (npr. test.dsc.wcsset.com), dok Ruler konfigurira pravila filtriranja paketa putem iptablesa kako bi se provelo preusmjeravanje. U nekim slučajevima, DNS čvor i čvor za otmicu su isti, što uzrokuje da DNS usluga vraća vlastitu IP adresu tijekom procesa lažiranja.
Dugoročne operacije i globalno ciljanje
Aktivan od najmanje 2018. godine, PlushDaemon se fokusirao na organizacije diljem SAD-a, Novog Zelanda, Kambodže, Hong Konga, Tajvana, Južne Koreje i kontinentalne Kine. Njegove aktivnosti prvi put su formalno prijavljene u siječnju 2025. tijekom istrage o kompromitiranju lanca opskrbe u koju je bio uključen južnokorejski VPN pružatelj usluga IPany. Taj je incident otkrio kako su napadači primijenili multifunkcionalni implantat SlowStepper protiv tvrtke za poluvodiče i neidentificirane tvrtke za razvoj softvera.
Dodatne žrtve identificirane u kasnijim istraživanjima uključuju sveučilište u Pekingu, proizvođača elektronike u Tajvanu, automobilsku tvrtku i regionalnu podružnicu japanskog proizvodnog poduzeća. Analitičari su također zabilježili daljnju aktivnost u Kambodži 2025. godine, gdje su još dvije organizacije, jedna u automobilskom sektoru i druga povezana s japanskim proizvođačem, bile meta SlowSteppera.
Trovanje AitM-om: PlushDaemon-ova primarna strategija ulaska
Grupa se uvelike oslanja na AitM trovanje kao svoju početnu tehniku upada, trend koji sve više dijeli i drugi APT klasteri povezani s Kinom kao što su LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood i FontGoblin. PlushDaemon pokreće svoj lanac napada kompromitiranjem uređaja na rubu mreže putem kojeg se žrtva vjerojatno spaja. Kompromitacija obično proizlazi iz nezakrpanih ranjivosti ili slabe autentifikacije.
Nakon što je uređaj pod kontrolom, instalira se EdgeStepper za manipuliranje DNS prometom. Zlonamjerni DNS čvor procjenjuje dolazne zahtjeve i, kada otkrije domene povezane s ažuriranjima softvera, odgovara s IP adresom čvora koji je preuzeo kontrolu. Ova postavka omogućuje zlonamjernu isporuku sadržaja bez trenutnog izazivanja sumnje.
Oteti kanali ažuriranja i lanac implementacije
PlushDaemonova kampanja posebno pregledava mehanizme ažuriranja koje koristi nekoliko kineskih aplikacija, uključujući Sogou Pinyin, za preusmjeravanje legitimnog prometa ažuriranja. Ovom manipulacijom napadači distribuiraju zlonamjerni DLL pod nazivom LittleDaemon (popup_4.2.0.2246.dll), koji služi kao implantat prve faze. Ako sustav već ne sadrži SlowStepper backdoor, LittleDaemon kontaktira napadački čvor i preuzima program za preuzimanje pod nazivom DaemonicLogistics.
Uloga DaemonicLogisticsa je jednostavna: preuzeti i pokrenuti SlowStepper. Nakon što je aktivan, SlowStepper pruža širok raspon mogućnosti koje uključuju prikupljanje detalja sustava, preuzimanje datoteka, izdvajanje vjerodajnica preglednika, povlačenje podataka iz više aplikacija za razmjenu poruka i uklanjanje samog sebe ako je potrebno.
Proširene mogućnosti kroz koordinirane implantate
Kombinirana funkcionalnost EdgeSteppera, LittleDaemona, DaemonicLogisticsa i SlowSteppera oprema PlushDaemona sveobuhvatnim skupom alata sposobnim za kompromitiranje organizacija diljem svijeta. Njihova koordinirana upotreba daje grupi trajan pristup, mogućnosti krađe podataka i fleksibilnu infrastrukturu za dugoročne operacije unutar regija.
Ključna zapažanja
PlushDaemonove operacije otkrivaju nekoliko dosljednih tema. Grupa se uvelike oslanja na trovanje putem napada u sredini kao svoju preferiranu metodu za stjecanje početnog uporišta, koristeći ga za presretanje i preusmjeravanje prometa na rubu mreže. Nakon što je meta kompromitirana, napadač se oslanja na SlowStepper kao svoj glavni implantat nakon upada, koristeći njegove opsežne značajke prikupljanja podataka i izviđanja sustava. Učinkovitost ovog tijeka rada pojačana je EdgeStepperovom sposobnošću manipuliranja DNS odgovorima, što napadačima omogućuje tiho preusmjeravanje legitimnog prometa ažuriranja softvera prema vlastitoj infrastrukturi.
