Backdoor EdgeStepper
Un gruppo di cybercriminali affiliato alla Cina, noto come PlushDaemon, è stato collegato a una backdoor di rete basata su Go recentemente scoperta, denominata EdgeStepper, uno strumento progettato per supportare le operazioni Adversary-in-the-Middle (AitM). Manipolando il traffico di rete a livello DNS, questo gruppo ha ampliato la sua capacità di intercettare e reindirizzare i flussi di dati per campagne di intrusione mirate in più regioni.
Sommario
EdgeStepper: reindirizzamento del traffico verso infrastrutture dannose
EdgeStepper agisce come un meccanismo di dirottamento a livello di rete. Una volta implementato, reindirizza ogni richiesta DNS a un nodo esterno dannoso. Questa manipolazione devia il traffico destinato all'infrastruttura legittima di aggiornamento software e lo inoltra ai sistemi sotto il controllo dell'aggressore.
Internamente, lo strumento opera attraverso due moduli principali. Il Distributore risolve l'indirizzo del nodo DNS dannoso (ad esempio, test.dsc.wcsset.com), mentre il Righello configura le regole di filtraggio dei pacchetti tramite iptables per imporre il reindirizzamento. In alcuni casi, il nodo DNS e il nodo di dirottamento sono la stessa cosa, facendo sì che il servizio DNS restituisca il proprio indirizzo IP durante il processo di spoofing.
Operazioni a lungo termine e targeting globale
Attivo almeno dal 2018, PlushDaemon si è concentrato su organizzazioni negli Stati Uniti, in Nuova Zelanda, Cambogia, Hong Kong, Taiwan, Corea del Sud e Cina continentale. Le sue attività sono state formalmente segnalate per la prima volta nel gennaio 2025 durante un'indagine su una compromissione della supply chain che coinvolgeva il provider VPN sudcoreano IPany. Quell'incidente ha rivelato come gli aggressori abbiano utilizzato l'impianto multifunzionale SlowStepper contro un'azienda di semiconduttori e una società di sviluppo software non identificata.
Ulteriori vittime identificate in ricerche successive includono un'università di Pechino, un produttore di elettronica di Taiwan, un'azienda automobilistica e una filiale regionale di un'azienda manifatturiera giapponese. Gli analisti hanno registrato ulteriori attività in Cambogia nel 2025, dove altre due organizzazioni, una nel settore automobilistico e l'altra legata a un produttore giapponese, sono state prese di mira con SlowStepper.
Avvelenamento da AitM: strategia di ingresso primaria di PlushDaemon
Il gruppo fa ampio affidamento sull'avvelenamento AitM come tecnica di intrusione iniziale, una tendenza sempre più condivisa tra altri cluster APT affiliati alla Cina come LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood e FontGoblin. PlushDaemon avvia la sua catena di attacco compromettendo un dispositivo di rete edge attraverso il quale la vittima potrebbe connettersi. La compromissione deriva in genere da vulnerabilità non corrette o da un'autenticazione debole.
Una volta che il dispositivo è sotto controllo, EdgeStepper viene installato per manipolare il traffico DNS. Il nodo DNS dannoso valuta le richieste in arrivo e, quando rileva domini collegati ad aggiornamenti software, risponde con l'indirizzo IP del nodo di dirottamento. Questa configurazione consente la distribuzione dannosa di payload senza destare immediatamente sospetti.
Canali di aggiornamento dirottati e catena di distribuzione
La campagna di PlushDaemon esamina specificamente i meccanismi di aggiornamento utilizzati da diverse applicazioni cinesi, tra cui Sogou Pinyin, per reindirizzare il traffico di aggiornamento legittimo. Attraverso questa manipolazione, gli aggressori distribuiscono una DLL dannosa denominata LittleDaemon (popup_4.2.0.2246.dll), che funge da impianto di primo stadio. Se il sistema non ospita già la backdoor SlowStepper, LittleDaemon contatta il nodo dell'aggressore e recupera un downloader chiamato DaemonicLogistics.
Il ruolo di DaemonicLogistics è semplice: scaricare ed eseguire SlowStepper. Una volta attivo, SlowStepper offre un'ampia gamma di funzionalità, tra cui la raccolta di dettagli di sistema, l'acquisizione di file, l'estrazione delle credenziali del browser, l'estrazione di dati da più applicazioni di messaggistica e la rimozione di se stesso, se necessario.
Capacità ampliate tramite impianti coordinati
La funzionalità combinata di EdgeStepper, LittleDaemon, DaemonicLogistics e SlowStepper fornisce a PlushDaemon un set di strumenti completo in grado di compromettere organizzazioni in tutto il mondo. Il loro utilizzo coordinato offre al gruppo accesso persistente, capacità di contrastare il furto di dati e un'infrastruttura flessibile per operazioni interregionali a lungo termine.
Osservazioni chiave
Le operazioni di PlushDaemon rivelano diversi temi ricorrenti. Il gruppo fa ampio affidamento sull'avvelenamento da parte di un avversario nel mezzo come metodo preferito per ottenere un punto d'appoggio iniziale, utilizzandolo per intercettare e reindirizzare il traffico ai margini della rete. Una volta compromesso un obiettivo, l'autore della minaccia si affida a SlowStepper come principale sistema di post-intrusione, sfruttando le sue ampie funzionalità di raccolta dati e di ricognizione del sistema. L'efficacia di questo flusso di lavoro è rafforzata dalla capacità di EdgeStepper di manipolare le risposte DNS, consentendo agli aggressori di deviare silenziosamente il traffico di aggiornamenti software legittimi verso la propria infrastruttura.
