Задња врата EdgeStepper-а
Кинески актер претње познат као PlushDaemon повезан је са новооткривеним задњим вратима на мрежи заснованим на Go-у под називом EdgeStepper, алатом дизајнираним за подршку операцијама противника у средини (AitM). Манипулисањем мрежног саобраћаја на DNS нивоу, ова група је проширила своју способност пресретања и преусмеравања токова података за циљане кампање упада у више региона.
Преглед садржаја
EdgeStepper: Преусмеравање саобраћаја на злонамерну инфраструктуру
EdgeStepper делује као механизам за отмицу на нивоу мреже. Једном када се примени, преусмерава сваки DNS захтев на спољни злонамерни чвор. Ова манипулација преусмерава саобраћај намењен легитимној инфраструктури за ажурирање софтвера и уместо тога га прослеђује системима под контролом нападача.
Интерно, алат функционише кроз два примарна модула. Дистрибутер разрешава адресу злонамерног DNS чвора (нпр. test.dsc.wcsset.com), док Рулер конфигурише правила филтрирања пакета путем iptables-а како би спровео преусмеравање. У неким случајевима, DNS чвор и чвор за отмицу су исти, што узрокује да DNS сервис враћа сопствену IP адресу током процеса лажног представљања.
Дугорочне операције и глобално циљање
Активан најмање од 2018. године, PlushDaemon се фокусирао на организације широм САД, Новог Зеланда, Камбоџе, Хонг Конга, Тајвана, Јужне Кореје и континенталне Кине. Његове активности су први пут званично пријављене у јануару 2025. године током истраге о компромитовању ланца снабдевања у које је умешан јужнокорејски VPN провајдер IPany. Тај инцидент је открио како су нападачи применили мултифункционални имплант SlowStepper против полупроводничке фирме и неидентификоване компаније за развој софтвера.
Додатне жртве идентификоване у каснијим истраживањима укључују универзитет у Пекингу, произвођача електронике на Тајвану, аутомобилску компанију и регионалну филијалу јапанског производног предузећа. Аналитичари су такође забележили даљу активност у Камбоџи 2025. године, где су још две организације, једна у аутомобилском сектору и друга повезана са јапанским произвођачем, биле мета SlowStepper-а.
Тровање AitM-ом: Примарна стратегија уласка у PlushDaemon
Група се у великој мери ослања на тровање AitM-ом као своју почетну технику упада, тренд који све више деле други APT кластери повезани са Кином, као што су LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood и FontGoblin. PlushDaemon покреће свој ланац напада компромитовањем уређаја на рубу мреже преко којег се жртва вероватно повезује. Компромитовање обично произилази из неинсталираних рањивости или слабе аутентификације.
Када је уређај под контролом, инсталира се EdgeStepper да би манипулисао DNS саобраћајем. Злонамерни DNS чвор процењује долазне захтеве и, када открије домене повезане са ажурирањима софтвера, одговара са IP адресом чвора који је отео уређај. Ова поставка омогућава злонамерну испоруку корисних података без тренутног изазивања сумње.
Отети канали ажурирања и ланац имплементације
Кампања компаније PlushDaemon посебно испитује механизме ажурирања које користе неколико кинеских апликација, укључујући Sogou Pinyin, за преусмеравање легитимног саобраћаја ажурирања. Овом манипулацијом, нападачи дистрибуирају злонамерни DLL под називом LittleDaemon (popup_4.2.0.2246.dll), који служи као имплантат прве фазе. Ако систем већ не хостује SlowStepper бекдор, LittleDaemon контактира чвор нападача и преузима програм за преузимање под називом DaemonicLogistics.
Улога компаније DaemonicLogistics је једноставна: преузмите и покрените SlowStepper. Када се активира, SlowStepper пружа широк спектар могућности које укључују прикупљање системских детаља, преузимање датотека, издвајање података из прегледача, преузимање података из више апликација за размену порука и уклањање самог себе ако је потребно.
Проширене могућности кроз координисане имплантате
Комбинована функционалност EdgeStepper-а, LittleDaemon-а, DaemonicLogistics-а и SlowStepper-а опрема PlushDaemon-а свеобухватним скупом алата способним да угрозе организације широм света. Њихова координисана употреба даје групи стални приступ, могућности крађе података и флексибилну инфраструктуру за дугорочне операције у различитим регионима.
Кључна запажања
Операције групе PlushDaemon откривају неколико конзистентних тема. Група се у великој мери ослања на тровање противника посредника као своју преферирану методу за стицање почетног упоришта, користећи га за пресретање и преусмеравање саобраћаја на ивици мреже. Када је мета угрожена, актер претње зависи од SlowStepper-а као свог главног имплантата након упада, користећи његове опсежне функције прикупљања података и извиђања система. Ефикасност овог тока рада је појачана способношћу EdgeStepper-а да манипулише DNS одговорима, што омогућава нападачима да тихо преусмере легитимни саобраћај ажурирања софтвера ка сопственој инфраструктури.
