EdgeStepper Backdoor
Связанная с Китаем группировка PlushDaemon была связана с недавно обнаруженным сетевым бэкдором EdgeStepper на базе Go, инструментом, разработанным для поддержки операций типа «злоумышленник посередине» (AitM). Манипулируя сетевым трафиком на уровне DNS, эта группировка расширила свои возможности по перехвату и перенаправлению потоков данных для целевых атак в различных регионах.
Оглавление
EdgeStepper: перенаправление трафика на вредоносную инфраструктуру
EdgeStepper действует как механизм перехвата на сетевом уровне. После внедрения он перенаправляет каждый DNS-запрос на внешний вредоносный узел. Эта манипуляция перенаправляет трафик, предназначенный для легитимной инфраструктуры обновления ПО, на системы, находящиеся под контролем злоумышленника.
Внутренне инструмент работает через два основных модуля. Дистрибьютор (Distributor) преобразует адрес вредоносного DNS-узла (например, test.dsc.wcsset.com), а Линейщик (Ruler) настраивает правила фильтрации пакетов через iptables для обеспечения перенаправления. В некоторых случаях DNS-узел и узел перехвата — это одно и то же, что приводит к тому, что DNS-сервис возвращает свой собственный IP-адрес во время процесса подмены.
Долгосрочные операции и глобальное нацеливание
PlushDaemon, действующий как минимум с 2018 года, специализируется на организациях в США, Новой Зеландии, Камбодже, Гонконге, Тайване, Южной Корее и материковом Китае. Впервые о его деятельности официально стало известно в январе 2025 года в ходе расследования взлома цепочки поставок южнокорейского VPN-провайдера IPany. Этот инцидент показал, как злоумышленники использовали многофункциональный имплант SlowStepper против компании-производителя полупроводников и неустановленной компании-разработчика программного обеспечения.
В ходе дальнейшего исследования были выявлены и другие жертвы, включая университет в Пекине, производителя электроники на Тайване, автомобильную компанию и региональное отделение японского производственного предприятия. Аналитики также зафиксировали дальнейшую активность в Камбодже в 2025 году, где атаке SlowStepper подверглись ещё две организации: одна из автомобильного сектора, а другая, связанная с японским производителем.
Отравление AitM: основная стратегия входа PlushDaemon
Группировка активно использует отравление AitM в качестве метода первоначального проникновения, что всё чаще встречается среди других APT-кластеров, связанных с Китаем, таких как LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood и FontGoblin. PlushDaemon начинает свою цепочку атак, взламывая периферийное сетевое устройство, через которое, вероятно, будет подключаться жертва. Взлом обычно происходит из-за неисправленных уязвимостей или слабой аутентификации.
После того, как устройство взято под контроль, устанавливается EdgeStepper для манипулирования DNS-трафиком. Вредоносный DNS-узел анализирует входящие запросы и, обнаруживая домены, связанные с обновлениями программного обеспечения, отправляет в ответ IP-адрес перехваченного узла. Такая конфигурация позволяет вредоносным вредоносным программам доставлять полезную нагрузку, не вызывая немедленного подозрения.
Перехваченные каналы обновлений и цепочка развертывания
Кампания PlushDaemon направлена на проверку механизмов обновления, используемых несколькими китайскими приложениями, включая Sogou Pinyin, для перенаправления легитимного трафика обновлений. С помощью этой манипуляции злоумышленники распространяют вредоносную DLL-библиотеку LittleDaemon (popup_4.2.0.2246.dll), которая служит имплантом первого этапа. Если в системе ещё не установлен бэкдор SlowStepper, LittleDaemon связывается с узлом злоумышленника и получает загрузчик DaemonicLogistics.
Роль DaemonicLogistics проста: скачать и запустить SlowStepper. После активации SlowStepper предоставляет широкий спектр возможностей, включая сбор системной информации, получение файлов, извлечение учётных данных браузера, извлечение данных из нескольких мессенджеров и самоудаление при необходимости.
Расширенные возможности за счет скоординированных имплантатов
Совместный функционал EdgeStepper, LittleDaemon, DaemonicLogistics и SlowStepper предоставляет PlushDaemon комплексный инструментарий, способный взломать организации по всему миру. Их скоординированное использование обеспечивает группе постоянный доступ, возможности кражи данных и гибкую инфраструктуру для долгосрочных межрегиональных операций.
Ключевые наблюдения
В операциях PlushDaemon прослеживается несколько общих черт. Группировка активно использует отравление злоумышленников в качестве своего основного метода первоначального захвата, используя его для перехвата и перенаправления трафика на границе сети. После компрометации цели злоумышленник использует SlowStepper как основной инструмент для последующего внедрения, используя его обширные возможности сбора данных и системной разведки. Эффективность этого рабочего процесса подкрепляется способностью EdgeStepper манипулировать ответами DNS, что позволяет злоумышленникам незаметно перенаправлять легитимный трафик обновлений ПО на свою собственную инфраструктуру.
