Ușă din spate EdgeStepper
Un actor de amenințare aliniat cu China, cunoscut sub numele de PlushDaemon, a fost asociat cu un backdoor de rețea bazat pe Go, recent descoperit, numit EdgeStepper, un instrument conceput pentru a sprijini operațiunile de tip adversar-in-the-middle (AitM). Prin manipularea traficului de rețea la nivel DNS, acest grup și-a extins capacitatea de a intercepta și redirecționa fluxurile de date pentru campanii de intruziune direcționate în mai multe regiuni.
Cuprins
EdgeStepper: Redirecționarea traficului către o infrastructură rău intenționată
EdgeStepper acționează ca un mecanism de deturnare la nivel de rețea. Odată implementat, redirecționează fiecare cerere DNS către un nod extern malițios. Această manipulare deviază traficul destinat infrastructurii legitime de actualizare software și îl redirecționează către sistemele aflate sub controlul atacatorului.
Intern, instrumentul funcționează prin intermediul a două module principale. Distribuitorul rezolvă adresa nodului DNS malițios (de exemplu, test.dsc.wcsset.com), în timp ce Rigla configurează regulile de filtrare a pachetelor prin iptables pentru a impune redirecționarea. În unele cazuri, nodul DNS și nodul de deturnare sunt unul și același, ceea ce face ca serviciul DNS să returneze propria adresă IP în timpul procesului de spoofing.
Operațiuni pe termen lung și direcționare globală
Activă cel puțin din 2018, PlushDaemon s-a concentrat pe organizații din SUA, Noua Zeelandă, Cambodgia, Hong Kong, Taiwan, Coreea de Sud și China continentală. Activitățile sale au fost raportate oficial pentru prima dată în ianuarie 2025, în timpul unei investigații privind o compromitere a lanțului de aprovizionare care a implicat furnizorul sud-coreean de VPN IPany. Incidentul respectiv a dezvăluit cum atacatorii au folosit implantul multifuncțional SlowStepper atât împotriva unei firme de semiconductori, cât și împotriva unei companii de dezvoltare software neidentificate.
Printre alte victime identificate în cercetările ulterioare se numără o universitate din Beijing, un producător de electronice din Taiwan, o companie auto și o filială regională a unei întreprinderi japoneze de producție. Analiștii au înregistrat, de asemenea, activitate suplimentară în Cambodgia în 2025, unde alte două organizații, una din sectorul auto și alta legată de un producător japonez, au fost vizate de SlowStepper.
Intoxicație AitM: Strategia principală de intrare a PlushDaemon
Grupul se bazează în mare măsură pe otrăvirea AitM ca tehnică inițială de intruziune, o tendință din ce în ce mai răspândită printre alte clustere APT afiliate Chinei, cum ar fi LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood și FontGoblin. PlushDaemon își inițiază lanțul de atac prin compromiterea unui dispozitiv de rețea periferică prin care victima este probabil să se conecteze. Compromiterea provine de obicei din vulnerabilități necorectate sau din autentificare slabă.
Odată ce dispozitivul este sub control, se instalează EdgeStepper pentru a manipula traficul DNS. Nodul DNS rău intenționat evaluează cererile primite și, atunci când detectează domenii legate de actualizări de software, răspunde cu adresa IP a nodului deturnător. Această configurație permite livrarea rău intenționată a sarcinilor utile fără a ridica imediat suspiciuni.
Canalele de actualizare deturnate și lanțul de implementare
Campania PlushDaemon inspectează în mod specific mecanismele de actualizare utilizate de mai multe aplicații chinezești, inclusiv Sogou Pinyin, pentru a redirecționa traficul legitim de actualizare. Prin această manipulare, atacatorii distribuie un DLL malițios numit LittleDaemon (popup_4.2.0.2246.dll), care servește ca un implant în prima etapă. Dacă sistemul nu găzduiește deja backdoor-ul SlowStepper, LittleDaemon contactează nodul atacatorului și preia un program de descărcare numit DaemonicLogistics.
Rolul DaemonicLogistics este simplu: descărcați și executați SlowStepper. Odată activ, SlowStepper oferă o gamă largă de capabilități care includ colectarea detaliilor sistemului, achiziționarea de fișiere, extragerea acreditărilor browserului, extragerea de date din mai multe aplicații de mesagerie și auto-eliminarea, dacă este necesar.
Capacități extinse prin implanturi coordonate
Funcționalitatea combinată a EdgeStepper, LittleDaemon, DaemonicLogistics și SlowStepper echipează PlushDaemon cu un set complet de instrumente capabil să compromită organizațiile din întreaga lume. Utilizarea lor coordonată oferă grupului acces persistent, capacități de furt de date și o infrastructură flexibilă pentru operațiuni pe termen lung între regiuni.
Observații cheie
Operațiunile PlushDaemon dezvăluie mai multe teme consistente. Grupul se bazează în mare măsură pe otrăvirea prin „adversar-in-the-middle” ca metodă preferată pentru a obține un punct de sprijin inițial, folosind-o pentru a intercepta și redirecționa traficul la marginea rețelei. Odată ce o țintă este compromisă, actorul amenințător depinde de SlowStepper ca principal implant post-intruziune, profitând de funcțiile sale extinse de colectare a datelor și de recunoaștere a sistemului. Eficacitatea acestui flux de lucru este consolidată de capacitatea EdgeStepper de a manipula răspunsurile DNS, ceea ce permite atacatorilor să devieze discret traficul legitim de actualizări de software către propria infrastructură.
