Tylne drzwi EdgeStepper
Powiązany z Chinami aktor zagrożeń znany jako PlushDaemon został powiązany z niedawno odkrytym backdoorem sieciowym opartym na systemie Go o nazwie EdgeStepper, narzędziem zaprojektowanym do obsługi operacji typu adversary-in-the-middle (AitM). Manipulując ruchem sieciowym na poziomie DNS, grupa ta rozszerzyła swoje możliwości przechwytywania i przekierowywania przepływów danych w celu przeprowadzania ukierunkowanych kampanii włamań w wielu regionach.
Spis treści
EdgeStepper: przekierowywanie ruchu do złośliwej infrastruktury
EdgeStepper działa jak mechanizm przechwytywania na poziomie sieci. Po wdrożeniu przekierowuje każde żądanie DNS do zewnętrznego, złośliwego węzła. Ta manipulacja przekierowuje ruch przeznaczony dla legalnej infrastruktury aktualizacji oprogramowania i zamiast tego przekazuje go do systemów kontrolowanych przez atakującego.
Wewnętrznie narzędzie działa poprzez dwa główne moduły. Moduł Dystrybutora rozwiązuje adres złośliwego węzła DNS (np. test.dsc.wcsset.com), natomiast moduł Władcy konfiguruje reguły filtrowania pakietów za pomocą iptables, aby wymusić przekierowanie. W niektórych przypadkach węzeł DNS i węzeł przechwytujący są jednym i tym samym, co powoduje, że usługa DNS zwraca własny adres IP podczas procesu podszywania się.
Długotrwałe operacje i globalne ukierunkowanie
Działający co najmniej od 2018 roku PlushDaemon koncentruje się na organizacjach w Stanach Zjednoczonych, Nowej Zelandii, Kambodży, Hongkongu, Tajwanie, Korei Południowej i Chinach kontynentalnych. Jego działalność została po raz pierwszy oficjalnie zgłoszona w styczniu 2025 roku podczas śledztwa w sprawie naruszenia łańcucha dostaw, w które był zamieszany południowokoreański dostawca VPN IPany. Incydent ten ujawnił, w jaki sposób atakujący wdrożyli wielofunkcyjny implant SlowStepper zarówno w firmie produkującej półprzewodniki, jak i w niezidentyfikowanej firmie zajmującej się tworzeniem oprogramowania.
Wśród kolejnych ofiar zidentyfikowanych w późniejszych badaniach znalazły się uniwersytet w Pekinie, producent elektroniki na Tajwanie, firma motoryzacyjna oraz regionalny oddział japońskiego przedsiębiorstwa produkcyjnego. Analitycy odnotowali również dalszą aktywność w Kambodży w 2025 roku, gdzie dwie kolejne organizacje – jedna z sektora motoryzacyjnego, a druga powiązana z japońskim producentem – padły ofiarą ataku SlowStepper.
Zatrucie AitM: podstawowa strategia wejścia PlushDaemona
Grupa w dużym stopniu opiera się na zatruwaniu AitM jako początkowej technice włamań, co jest coraz bardziej powszechne wśród innych klastrów APT powiązanych z Chinami, takich jak LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood i FontGoblin. PlushDaemon inicjuje łańcuch ataku, atakując urządzenie brzegowe sieci, przez które ofiara prawdopodobnie się połączy. Włamanie zazwyczaj wynika z niezałatanych luk w zabezpieczeniach lub słabego uwierzytelniania.
Po przejęciu kontroli nad urządzeniem, instalowany jest EdgeStepper, który manipuluje ruchem DNS. Złośliwy węzeł DNS analizuje przychodzące żądania i, po wykryciu domen powiązanych z aktualizacjami oprogramowania, odpowiada adresem IP przechwytującego węzła. Taka konfiguracja umożliwia złośliwe dostarczanie ładunków bez natychmiastowego wzbudzania podejrzeń.
Przejęte kanały aktualizacji i łańcuch wdrożeniowy
Kampania PlushDaemon w szczególności inspekcjonuje mechanizmy aktualizacji używane przez kilka chińskich aplikacji, w tym Sogou Pinyin, w celu przekierowywania legalnego ruchu aktualizacji. Poprzez tę manipulację atakujący rozpowszechniają złośliwą bibliotekę DLL o nazwie LittleDaemon (popup_4.2.0.2246.dll), która służy jako implant pierwszego etapu. Jeśli system nie posiada jeszcze backdoora SlowStepper, LittleDaemon kontaktuje się z węzłem atakującego i pobiera program pobierający o nazwie DaemonicLogistics.
Rola DaemonicLogistics jest prosta: pobierz i uruchom SlowSteppera. Po aktywacji SlowStepper oferuje szeroki wachlarz możliwości, takich jak zbieranie danych systemowych, pobieranie plików, wyodrębnianie danych uwierzytelniających przeglądarki, pobieranie danych z wielu aplikacji do obsługi wiadomości oraz usuwanie się w razie potrzeby.
Rozszerzone możliwości dzięki skoordynowanym implantom
Połączona funkcjonalność EdgeStepper, LittleDaemon, DaemonicLogistics i SlowStepper wyposaża PlushDaemon w kompleksowy zestaw narzędzi zdolny do atakowania organizacji na całym świecie. Ich skoordynowane wykorzystanie zapewnia grupie stały dostęp, możliwości kradzieży danych oraz elastyczną infrastrukturę do długoterminowych operacji międzyregionalnych.
Kluczowe obserwacje
Działania PlushDaemon ujawniają kilka spójnych wątków. Grupa w dużym stopniu opiera się na zatruwaniu „przeciwnika pośrodku” (adversary-in-the-middle poisoning) jako preferowanej metodzie zdobywania początkowego punktu zaczepienia, wykorzystując ją do przechwytywania i przekierowywania ruchu na skraju sieci. Po zainfekowaniu celu, atakujący polega na SlowStepperze jako głównym narzędziu do wszczepiania po włamaniu, wykorzystując jego rozbudowane funkcje gromadzenia danych i rozpoznania systemu. Skuteczność tego procesu jest wzmacniana przez zdolność EdgeSteppera do manipulowania odpowiedziami DNS, co pozwala atakującym dyskretnie przekierować legalny ruch aktualizacji oprogramowania do własnej infrastruktury.
