EdgeStepper ਬੈਕਡੋਰ

ਪਲਸ਼ਡੇਮਨ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਚੀਨ-ਅਨੁਕੂਲ ਧਮਕੀ ਐਕਟਰ ਨੂੰ ਇੱਕ ਨਵੇਂ ਸਾਹਮਣੇ ਆਏ ਗੋ-ਅਧਾਰਤ ਨੈੱਟਵਰਕ ਬੈਕਡੋਰ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ ਜਿਸਦਾ ਨਾਮ ਐਜਸਟੀਪਰ ਹੈ, ਜੋ ਕਿ ਵਿਰੋਧੀ-ਇਨ-ਦ-ਮਿਡਲ (AitM) ਓਪਰੇਸ਼ਨਾਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਇੱਕ ਟੂਲ ਹੈ। DNS ਪੱਧਰ 'ਤੇ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਕੇ, ਇਸ ਸਮੂਹ ਨੇ ਕਈ ਖੇਤਰਾਂ ਵਿੱਚ ਨਿਸ਼ਾਨਾਬੱਧ ਘੁਸਪੈਠ ਮੁਹਿੰਮਾਂ ਲਈ ਡੇਟਾ ਪ੍ਰਵਾਹ ਨੂੰ ਰੋਕਣ ਅਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਦੀ ਆਪਣੀ ਯੋਗਤਾ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ ਹੈ।

ਐਜਸਟੈਪਰ: ਟ੍ਰੈਫਿਕ ਨੂੰ ਖਤਰਨਾਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਨਾ

ਐਜਸਟੈਪਰ ਇੱਕ ਨੈੱਟਵਰਕ-ਪੱਧਰੀ ਹਾਈਜੈਕਿੰਗ ਵਿਧੀ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਤੈਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਹਰੇਕ DNS ਬੇਨਤੀ ਨੂੰ ਇੱਕ ਬਾਹਰੀ ਖਤਰਨਾਕ ਨੋਡ ਵੱਲ ਰੀਰੂਟ ਕਰਦਾ ਹੈ। ਇਹ ਹੇਰਾਫੇਰੀ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ-ਅੱਪਡੇਟ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਲਈ ਬਣਾਏ ਗਏ ਟ੍ਰੈਫਿਕ ਨੂੰ ਮੋੜਦੀ ਹੈ ਅਤੇ ਇਸਦੀ ਬਜਾਏ ਇਸਨੂੰ ਹਮਲਾਵਰ ਦੇ ਨਿਯੰਤਰਣ ਅਧੀਨ ਸਿਸਟਮਾਂ ਵੱਲ ਭੇਜਦੀ ਹੈ।

ਅੰਦਰੂਨੀ ਤੌਰ 'ਤੇ, ਇਹ ਟੂਲ ਦੋ ਪ੍ਰਾਇਮਰੀ ਮੋਡੀਊਲਾਂ ਰਾਹੀਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਡਿਸਟ੍ਰੀਬਿਊਟਰ ਖਤਰਨਾਕ DNS ਨੋਡ ਦੇ ਪਤੇ (ਜਿਵੇਂ ਕਿ, test.dsc.wcsset.com) ਨੂੰ ਹੱਲ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਰੂਲਰ ਰੀਡਾਇਰੈਕਸ਼ਨ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ iptables ਰਾਹੀਂ ਪੈਕੇਟ-ਫਿਲਟਰਿੰਗ ਨਿਯਮਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦਾ ਹੈ। ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, DNS ਨੋਡ ਅਤੇ ਹਾਈਜੈਕਿੰਗ ਨੋਡ ਇੱਕ ਅਤੇ ਇੱਕੋ ਜਿਹੇ ਹੁੰਦੇ ਹਨ, ਜਿਸ ਕਾਰਨ DNS ਸੇਵਾ ਸਪੂਫਿੰਗ ਪ੍ਰਕਿਰਿਆ ਦੌਰਾਨ ਆਪਣਾ IP ਪਤਾ ਵਾਪਸ ਕਰਦੀ ਹੈ।

ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਚੱਲ ਰਹੇ ਕਾਰਜ ਅਤੇ ਗਲੋਬਲ ਟਾਰਗੇਟਿੰਗ

ਘੱਟੋ-ਘੱਟ 2018 ਤੋਂ ਸਰਗਰਮ, ਪਲਸ਼ਡੇਮਨ ਨੇ ਅਮਰੀਕਾ, ਨਿਊਜ਼ੀਲੈਂਡ, ਕੰਬੋਡੀਆ, ਹਾਂਗ ਕਾਂਗ, ਤਾਈਵਾਨ, ਦੱਖਣੀ ਕੋਰੀਆ ਅਤੇ ਮੁੱਖ ਭੂਮੀ ਚੀਨ ਭਰ ਦੇ ਸੰਗਠਨਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ ਹੈ। ਇਸਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਪਹਿਲੀ ਵਾਰ ਜਨਵਰੀ 2025 ਵਿੱਚ ਦੱਖਣੀ ਕੋਰੀਆਈ VPN ਪ੍ਰਦਾਤਾ IPany ਨਾਲ ਜੁੜੇ ਸਪਲਾਈ ਚੇਨ ਸਮਝੌਤੇ ਦੀ ਜਾਂਚ ਦੌਰਾਨ ਰਸਮੀ ਤੌਰ 'ਤੇ ਰਿਪੋਰਟ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ। ਉਸ ਘਟਨਾ ਤੋਂ ਪਤਾ ਲੱਗਾ ਕਿ ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ ਸੈਮੀਕੰਡਕਟਰ ਫਰਮ ਅਤੇ ਇੱਕ ਅਣਪਛਾਤੀ ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਕੰਪਨੀ ਦੋਵਾਂ ਦੇ ਵਿਰੁੱਧ ਮਲਟੀਫੰਕਸ਼ਨਲ ਇਮਪਲਾਂਟ ਸਲੋਸਟੈਪਰ ਨੂੰ ਕਿਵੇਂ ਤਾਇਨਾਤ ਕੀਤਾ।

ਬਾਅਦ ਦੀ ਖੋਜ ਵਿੱਚ ਪਛਾਣੇ ਗਏ ਹੋਰ ਪੀੜਤਾਂ ਵਿੱਚ ਬੀਜਿੰਗ ਵਿੱਚ ਇੱਕ ਯੂਨੀਵਰਸਿਟੀ, ਤਾਈਵਾਨ ਵਿੱਚ ਇੱਕ ਇਲੈਕਟ੍ਰਾਨਿਕਸ ਨਿਰਮਾਤਾ, ਇੱਕ ਆਟੋਮੋਟਿਵ ਕੰਪਨੀ, ਅਤੇ ਇੱਕ ਜਾਪਾਨੀ ਨਿਰਮਾਣ ਉੱਦਮ ਦੀ ਇੱਕ ਖੇਤਰੀ ਸ਼ਾਖਾ ਸ਼ਾਮਲ ਹਨ। ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ 2025 ਵਿੱਚ ਕੰਬੋਡੀਆ ਵਿੱਚ ਹੋਰ ਗਤੀਵਿਧੀਆਂ ਵੀ ਦਰਜ ਕੀਤੀਆਂ, ਜਿੱਥੇ ਦੋ ਹੋਰ ਸੰਗਠਨਾਂ, ਇੱਕ ਆਟੋਮੋਟਿਵ ਖੇਤਰ ਵਿੱਚ ਅਤੇ ਦੂਜੀ ਇੱਕ ਜਾਪਾਨੀ ਨਿਰਮਾਤਾ ਨਾਲ ਜੁੜੀ, ਨੂੰ ਸਲੋਸਟੈਪਰ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ।

AitM ਜ਼ਹਿਰ: PlushDaemon ਦੀ ਪ੍ਰਾਇਮਰੀ ਐਂਟਰੀ ਰਣਨੀਤੀ

ਇਹ ਸਮੂਹ ਆਪਣੀ ਸ਼ੁਰੂਆਤੀ ਘੁਸਪੈਠ ਤਕਨੀਕ ਦੇ ਤੌਰ 'ਤੇ AitM ਜ਼ਹਿਰ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦਾ ਹੈ, ਇਹ ਰੁਝਾਨ ਚੀਨ ਨਾਲ ਸਬੰਧਤ ਹੋਰ APT ਕਲੱਸਟਰਾਂ ਜਿਵੇਂ ਕਿ LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood, ਅਤੇ FontGoblin ਵਿੱਚ ਵੱਧਦਾ ਜਾ ਰਿਹਾ ਹੈ। PlushDaemon ਇੱਕ ਕਿਨਾਰੇ ਵਾਲੇ ਨੈੱਟਵਰਕ ਡਿਵਾਈਸ ਨਾਲ ਸਮਝੌਤਾ ਕਰਕੇ ਆਪਣੀ ਹਮਲੇ ਦੀ ਲੜੀ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ ਜਿਸ ਰਾਹੀਂ ਪੀੜਤ ਜੁੜ ਸਕਦਾ ਹੈ। ਸਮਝੌਤਾ ਆਮ ਤੌਰ 'ਤੇ ਅਣਪੈਚ ਕੀਤੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਜਾਂ ਕਮਜ਼ੋਰ ਪ੍ਰਮਾਣੀਕਰਨ ਤੋਂ ਪੈਦਾ ਹੁੰਦਾ ਹੈ।

ਇੱਕ ਵਾਰ ਜਦੋਂ ਡਿਵਾਈਸ ਕੰਟਰੋਲ ਵਿੱਚ ਆ ਜਾਂਦੀ ਹੈ, ਤਾਂ DNS ਟ੍ਰੈਫਿਕ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਲਈ EdgeStepper ਸਥਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਖਤਰਨਾਕ DNS ਨੋਡ ਆਉਣ ਵਾਲੀਆਂ ਬੇਨਤੀਆਂ ਦਾ ਮੁਲਾਂਕਣ ਕਰਦਾ ਹੈ ਅਤੇ, ਜਦੋਂ ਸਾਫਟਵੇਅਰ ਅੱਪਡੇਟ ਨਾਲ ਜੁੜੇ ਡੋਮੇਨਾਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਹਾਈਜੈਕਿੰਗ ਨੋਡ ਦੇ IP ਪਤੇ ਨਾਲ ਜਵਾਬ ਦਿੰਦਾ ਹੈ। ਇਹ ਸੈੱਟਅੱਪ ਸ਼ੱਕ ਪੈਦਾ ਕੀਤੇ ਬਿਨਾਂ ਤੁਰੰਤ ਪੇਲੋਡਾਂ ਦੀ ਖਤਰਨਾਕ ਡਿਲੀਵਰੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਹਾਈਜੈਕ ਕੀਤੇ ਅੱਪਡੇਟ ਚੈਨਲ ਅਤੇ ਤੈਨਾਤੀ ਲੜੀ

ਪਲਸ਼ਡੇਮਨ ਦੀ ਮੁਹਿੰਮ ਖਾਸ ਤੌਰ 'ਤੇ ਕਈ ਚੀਨੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਂਦੇ ਅਪਡੇਟ ਵਿਧੀਆਂ ਦੀ ਜਾਂਚ ਕਰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਸੋਗੋ ਪਿਨਯਿਨ ਵੀ ਸ਼ਾਮਲ ਹੈ, ਤਾਂ ਜੋ ਜਾਇਜ਼ ਅਪਡੇਟ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾ ਸਕੇ। ਇਸ ਹੇਰਾਫੇਰੀ ਰਾਹੀਂ, ਹਮਲਾਵਰ ਲਿਟਲਡੇਮਨ (popup_4.2.0.2246.dll) ਨਾਮਕ ਇੱਕ ਖਤਰਨਾਕ DLL ਵੰਡਦੇ ਹਨ, ਜੋ ਪਹਿਲੇ ਪੜਾਅ ਦੇ ਇਮਪਲਾਂਟ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਸਿਸਟਮ ਪਹਿਲਾਂ ਹੀ ਸਲੋਸਟੇਪਰ ਬੈਕਡੋਰ ਨੂੰ ਹੋਸਟ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਤਾਂ ਲਿਟਲਡੇਮਨ ਹਮਲਾਵਰ ਨੋਡ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ ਅਤੇ ਡੈਮੋਨਿਕਲੋਜਿਸਟਿਕਸ ਨਾਮਕ ਇੱਕ ਡਾਊਨਲੋਡਰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਡੈਮੋਨਿਕਲੌਜਿਸਟਿਕਸ ਦੀ ਭੂਮਿਕਾ ਸਿੱਧੀ ਹੈ: ਸਲੋਸਟੇਪਰ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਐਗਜ਼ੀਕਿਊਟ ਕਰੋ। ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਸਲੋਸਟੇਪਰ ਸਮਰੱਥਾਵਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਸਿਸਟਮ ਵੇਰਵੇ ਇਕੱਠੇ ਕਰਨਾ, ਫਾਈਲਾਂ ਪ੍ਰਾਪਤ ਕਰਨਾ, ਬ੍ਰਾਊਜ਼ਰ ਪ੍ਰਮਾਣ ਪੱਤਰ ਕੱਢਣਾ, ਕਈ ਮੈਸੇਜਿੰਗ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੋਂ ਡੇਟਾ ਕੱਢਣਾ, ਅਤੇ ਜੇ ਲੋੜ ਹੋਵੇ ਤਾਂ ਆਪਣੇ ਆਪ ਨੂੰ ਹਟਾਉਣਾ ਸ਼ਾਮਲ ਹੈ।

ਕੋਆਰਡੀਨੇਟਡ ਇਮਪਲਾਂਟ ਰਾਹੀਂ ਵਧੀਆਂ ਸਮਰੱਥਾਵਾਂ

ਐਜਸਟੇਪਰ, ਲਿਟਲਡੈਮਨ, ਡੈਮੋਨਿਕਲੌਜਿਸਟਿਕਸ, ਅਤੇ ਸਲੋਸਟੇਪਰ ਦੀ ਸੰਯੁਕਤ ਕਾਰਜਸ਼ੀਲਤਾ ਪਲਸ਼ਡੈਮਨ ਨੂੰ ਇੱਕ ਵਿਆਪਕ ਟੂਲਸੈੱਟ ਨਾਲ ਲੈਸ ਕਰਦੀ ਹੈ ਜੋ ਦੁਨੀਆ ਭਰ ਦੇ ਸੰਗਠਨਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਇਹਨਾਂ ਦੀ ਤਾਲਮੇਲ ਵਾਲੀ ਵਰਤੋਂ ਸਮੂਹ ਨੂੰ ਨਿਰੰਤਰ ਪਹੁੰਚ, ਡੇਟਾ-ਚੋਰੀ ਯੋਗਤਾਵਾਂ, ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੇ ਅੰਤਰ-ਖੇਤਰ ਕਾਰਜਾਂ ਲਈ ਇੱਕ ਲਚਕਦਾਰ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।

ਮੁੱਖ ਨਿਰੀਖਣ

ਪਲਸ਼ਡੇਮਨ ਦੇ ਕਾਰਜ ਕਈ ਇਕਸਾਰ ਥੀਮਾਂ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦੇ ਹਨ। ਇਹ ਸਮੂਹ ਸ਼ੁਰੂਆਤੀ ਪੈਰ ਜਮਾਉਣ ਲਈ ਆਪਣੇ ਪਸੰਦੀਦਾ ਢੰਗ ਵਜੋਂ ਵਿਰੋਧੀ-ਵਿੱਚ-ਮੱਧਮ ਜ਼ਹਿਰ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦਾ ਹੈ, ਇਸਦੀ ਵਰਤੋਂ ਨੈੱਟਵਰਕ ਕਿਨਾਰੇ 'ਤੇ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੋਕਣ ਅਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਲਈ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਇੱਕ ਨਿਸ਼ਾਨਾ ਸਮਝੌਤਾ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਸਲੋਸਟੇਪਰ 'ਤੇ ਇਸਦੇ ਮੁੱਖ ਪੋਸਟ-ਇੰਟ੍ਰੂਜ਼ਨ ਇਮਪਲਾਂਟ ਵਜੋਂ ਨਿਰਭਰ ਕਰਦਾ ਹੈ, ਇਸਦੇ ਵਿਆਪਕ ਡੇਟਾ-ਇਕੱਠੇ ਕਰਨ ਅਤੇ ਸਿਸਟਮ-ਰੀਕੋਨਾਈਸੈਂਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦਾ ਹੈ। ਇਸ ਵਰਕਫਲੋ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਐਜਸਟੇਪਰ ਦੀ DNS ਜਵਾਬਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੀ ਯੋਗਤਾ ਦੁਆਰਾ ਹੋਰ ਮਜ਼ਬੂਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਚੁੱਪਚਾਪ ਜਾਇਜ਼ ਸਾਫਟਵੇਅਰ ਅੱਪਡੇਟ ਟ੍ਰੈਫਿਕ ਨੂੰ ਆਪਣੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵੱਲ ਮੋੜਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।