Porta traseira EdgeStepper
Um grupo de ameaças cibernéticas alinhado à China, conhecido como PlushDaemon, foi associado a um backdoor de rede recém-descoberto, baseado em Go, chamado EdgeStepper, uma ferramenta projetada para dar suporte a operações de adversário no meio (AitM). Ao manipular o tráfego de rede no nível do DNS, esse grupo expandiu sua capacidade de interceptar e redirecionar fluxos de dados para campanhas de intrusão direcionadas em diversas regiões.
Índice
EdgeStepper: Redirecionando o tráfego para infraestrutura maliciosa
O EdgeStepper atua como um mecanismo de sequestro de rede. Uma vez implantado, ele redireciona todas as solicitações de DNS para um nó malicioso externo. Essa manipulação desvia o tráfego destinado à infraestrutura legítima de atualização de software e o encaminha para sistemas sob o controle do atacante.
Internamente, a ferramenta opera por meio de dois módulos principais. O Distribuidor resolve o endereço do nó DNS malicioso (por exemplo, test.dsc.wcsset.com), enquanto o Controlador configura regras de filtragem de pacotes via iptables para impor o redirecionamento. Em alguns casos, o nó DNS e o nó de sequestro são o mesmo, fazendo com que o serviço DNS retorne seu próprio endereço IP durante o processo de falsificação.
Operações de longa duração e direcionamento global
Ativo desde pelo menos 2018, o PlushDaemon tem como alvo organizações nos EUA, Nova Zelândia, Camboja, Hong Kong, Taiwan, Coreia do Sul e China continental. Suas atividades foram relatadas formalmente pela primeira vez em janeiro de 2025, durante uma investigação sobre uma violação da cadeia de suprimentos envolvendo o provedor de VPN sul-coreano IPany. Esse incidente revelou como os atacantes implantaram o implante multifuncional SlowStepper contra uma empresa de semicondutores e uma empresa de desenvolvimento de software não identificada.
Outras vítimas identificadas em pesquisas posteriores incluem uma universidade em Pequim, um fabricante de eletrônicos em Taiwan, uma montadora de veículos e uma filial regional de uma empresa japonesa do setor manufatureiro. Analistas também registraram novas atividades no Camboja em 2025, onde mais duas organizações, uma do setor automotivo e outra ligada a um fabricante japonês, foram alvo do SlowStepper.
Envenenamento por AitM: Estratégia de Entrada Primária de PlushDaemon
O grupo depende fortemente do envenenamento do AitM como sua técnica inicial de intrusão, uma tendência cada vez mais compartilhada por outros clusters APT afiliados à China, como LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood e FontGoblin. O PlushDaemon inicia sua cadeia de ataque comprometendo um dispositivo de rede periférico pelo qual a vítima provavelmente se conecta. O comprometimento geralmente decorre de vulnerabilidades não corrigidas ou autenticação fraca.
Uma vez que o dispositivo esteja sob controle, o EdgeStepper é instalado para manipular o tráfego DNS. O nó DNS malicioso avalia as solicitações recebidas e, ao detectar domínios vinculados a atualizações de software, responde com o endereço IP do nó sequestrador. Essa configuração permite a entrega maliciosa de payloads sem levantar suspeitas imediatas.
Canais de atualização sequestrados e a cadeia de implantação
A campanha do PlushDaemon inspeciona especificamente os mecanismos de atualização usados por diversos aplicativos chineses, incluindo o Sogou Pinyin, para redirecionar o tráfego legítimo de atualizações. Por meio dessa manipulação, os atacantes distribuem uma DLL maliciosa chamada LittleDaemon (popup_4.2.0.2246.dll), que serve como implante de primeiro estágio. Se o sistema ainda não hospedar o backdoor SlowStepper, o LittleDaemon contata o nó do atacante e baixa um programa chamado DaemonicLogistics.
A função do DaemonicLogistics é simples: baixar e executar o SlowStepper. Uma vez ativo, o SlowStepper oferece uma ampla gama de recursos, incluindo a coleta de detalhes do sistema, a aquisição de arquivos, a extração de credenciais do navegador, a obtenção de dados de vários aplicativos de mensagens e a remoção de si mesmo, se necessário.
Capacidades ampliadas por meio de implantes coordenados
A funcionalidade combinada do EdgeStepper, LittleDaemon, DaemonicLogistics e SlowStepper equipa o PlushDaemon com um conjunto abrangente de ferramentas capaz de comprometer organizações em todo o mundo. O uso coordenado dessas ferramentas proporciona ao grupo acesso persistente, capacidade de roubo de dados e uma infraestrutura flexível para operações inter-regionais de longo prazo.
Observações principais
As operações do PlushDaemon revelam vários temas consistentes. O grupo depende fortemente do envenenamento do tipo "adversário no meio" como seu método preferido para obter uma posição inicial, usando-o para interceptar e redirecionar o tráfego na borda da rede. Uma vez que um alvo é comprometido, o agente da ameaça depende do SlowStepper como seu principal implante pós-intrusão, aproveitando seus extensos recursos de coleta de dados e reconhecimento de sistemas. A eficácia desse fluxo de trabalho é reforçada pela capacidade do EdgeStepper de manipular respostas de DNS, o que permite aos atacantes desviar silenciosamente o tráfego legítimo de atualizações de software para sua própria infraestrutura.
