Pintu Belakang EdgeStepper
Pelakon ancaman sejajar China yang dikenali sebagai PlushDaemon telah dikaitkan dengan pintu belakang rangkaian berasaskan Go yang baru ditemui bernama EdgeStepper, alat yang direka bentuk untuk menyokong operasi musuh di tengah (AitM). Dengan memanipulasi trafik rangkaian pada peringkat DNS, kumpulan ini telah mengembangkan keupayaannya untuk memintas dan mengubah hala aliran data untuk kempen pencerobohan yang disasarkan merentas berbilang wilayah.
Isi kandungan
EdgeStepper: Mengubah hala Trafik ke Infrastruktur Berniat Hasad
EdgeStepper bertindak sebagai mekanisme rampasan peringkat rangkaian. Setelah digunakan, ia mengubah hala setiap permintaan DNS ke nod berniat jahat luaran. Manipulasi ini mengalihkan trafik yang bertujuan untuk infrastruktur kemas kini perisian yang sah dan sebaliknya memajukannya kepada sistem di bawah kawalan penyerang.
Secara dalaman, alat ini beroperasi melalui dua modul utama. Pengedar menyelesaikan alamat nod DNS yang berniat jahat (cth, test.dsc.wcsset.com), manakala Ruler mengkonfigurasi peraturan penapisan paket melalui iptables untuk menguatkuasakan pengalihan. Dalam sesetengah kes, nod DNS dan nod rampasan adalah satu dan sama, menyebabkan perkhidmatan DNS mengembalikan alamat IPnya sendiri semasa proses spoofing.
Operasi Berjangka Panjang dan Penyasaran Global
Aktif sejak sekurang-kurangnya 2018, PlushDaemon telah memfokuskan pada organisasi di seluruh AS, New Zealand, Kemboja, Hong Kong, Taiwan, Korea Selatan dan tanah besar China. Aktivitinya pertama kali dilaporkan secara rasmi pada Januari 2025 semasa siasatan terhadap kompromi rantaian bekalan yang melibatkan penyedia VPN Korea Selatan IPany. Insiden itu mendedahkan bagaimana penyerang menggunakan SlowStepper implan pelbagai fungsi terhadap kedua-dua firma semikonduktor dan syarikat pembangunan perisian yang tidak dikenali.
Mangsa tambahan yang dikenal pasti dalam penyelidikan kemudian termasuk universiti di Beijing, pengeluar elektronik di Taiwan, syarikat automotif dan cawangan serantau syarikat pembuatan Jepun. Penganalisis juga merekodkan aktiviti selanjutnya di Kemboja pada 2025, di mana dua lagi organisasi, satu dalam sektor automotif dan satu lagi terikat dengan pengeluar Jepun, disasarkan dengan SlowStepper.
Keracunan AitM: Strategi Kemasukan Utama PlushDaemon
Kumpulan itu sangat bergantung pada keracunan AitM sebagai teknik pencerobohan awalnya, satu trend yang semakin dikongsi di kalangan kelompok APT lain yang berkaitan dengan China seperti LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood dan FontGoblin. PlushDaemon memulakan rantaian serangannya dengan menjejaskan peranti rangkaian tepi yang mungkin disambungkan oleh mangsa. Kompromi itu biasanya berpunca daripada kelemahan yang tidak ditambal atau pengesahan yang lemah.
Setelah peranti terkawal, EdgeStepper dipasang untuk memanipulasi trafik DNS. Nod DNS berniat jahat menilai permintaan masuk dan, apabila mengesan domain yang terikat dengan kemas kini perisian, bertindak balas dengan alamat IP nod rampasan. Persediaan ini membolehkan penghantaran muatan berniat jahat tanpa menimbulkan syak wasangka dengan serta-merta.
Saluran Kemas Kini yang Dirampas dan Rantaian Penggunaan
Kempen PlushDaemon secara khusus memeriksa mekanisme kemas kini yang digunakan oleh beberapa aplikasi Cina, termasuk Sogou Pinyin, untuk mengubah hala trafik kemas kini yang sah. Melalui manipulasi ini, penyerang mengedarkan DLL berniat jahat bernama LittleDaemon (popup_4.2.0.2246.dll), yang berfungsi sebagai implan peringkat pertama. Jika sistem belum mengehoskan pintu belakang SlowStepper, LittleDaemon menghubungi nod penyerang dan mendapatkan semula pemuat turun yang dipanggil DaemonicLogistics.
Peranan DaemonicLogistics adalah mudah: muat turun dan laksanakan SlowStepper. Setelah aktif, SlowStepper menyampaikan pelbagai keupayaan yang termasuk mengumpul butiran sistem, memperoleh fail, mengekstrak bukti kelayakan penyemak imbas, menarik data daripada berbilang aplikasi pemesejan dan mengalih keluar sendiri jika perlu.
Meluaskan Keupayaan Melalui Implan Terselaras
Fungsi gabungan EdgeStepper, LittleDaemon, DaemonicLogistics dan SlowStepper melengkapkan PlushDaemon dengan set alat komprehensif yang mampu menjejaskan organisasi di seluruh dunia. Penggunaan yang diselaraskan memberikan kumpulan akses berterusan, kebolehan kecurian data dan infrastruktur yang fleksibel untuk operasi merentas wilayah jangka panjang.
Pemerhatian Utama
Operasi PlushDaemon mendedahkan beberapa tema yang konsisten. Kumpulan ini sangat bergantung pada keracunan musuh-di-tengah sebagai kaedah pilihannya untuk mendapatkan pijakan awal, menggunakannya untuk memintas dan mengubah hala trafik di pinggir rangkaian. Sebaik sahaja sasaran terjejas, pelaku ancaman bergantung pada SlowStepper sebagai implan pasca pencerobohan utamanya, mengambil kesempatan daripada ciri pengumpulan data dan peninjauan sistem yang meluas. Keberkesanan aliran kerja ini diperkukuh oleh keupayaan EdgeStepper untuk memanipulasi respons DNS, yang membolehkan penyerang mengalihkan trafik kemas kini perisian yang sah secara senyap ke arah infrastruktur mereka sendiri.
