EdgeStepper-bakdörr
En Kina-allierad hotaktör känd som PlushDaemon har kopplats till en nyligen avslöjad Go-baserad nätverksbakdörr vid namn EdgeStepper, ett verktyg konstruerat för att stödja AitM-operationer (adversary-in-the-middle). Genom att manipulera nätverkstrafik på DNS-nivå har denna grupp utökat sin förmåga att fånga upp och omdirigera dataflöden för riktade intrångskampanjer över flera regioner.
Innehållsförteckning
EdgeStepper: Omdirigera trafik till skadlig infrastruktur
EdgeStepper fungerar som en kapningsmekanism på nätverksnivå. När den väl är driftsatt omdirigerar den varje DNS-förfrågan till en extern skadlig nod. Denna manipulation omdirigerar trafik avsedd för legitim infrastruktur för programuppdateringar och vidarebefordrar den istället till system under angriparens kontroll.
Internt fungerar verktyget genom två primära moduler. Distributören matchar den skadliga DNS-nodens adress (t.ex. test.dsc.wcsset.com), medan Ruler konfigurerar paketfiltreringsregler via iptables för att framtvinga omdirigeringen. I vissa fall är DNS-noden och kapningsnoden en och samma, vilket gör att DNS-tjänsten returnerar sin egen IP-adress under förfalskningsprocessen.
Långvarig verksamhet och global inriktning
PlushDaemon har varit aktivt sedan åtminstone 2018 och har fokuserat på organisationer i USA, Nya Zeeland, Kambodja, Hongkong, Taiwan, Sydkorea och Kina. Dess verksamhet rapporterades först formellt i januari 2025 under en utredning av en kompromiss i leveranskedjan som involverade den sydkoreanska VPN-leverantören IPany. Den händelsen avslöjade hur angriparna använde det multifunktionella implantatet SlowStepper mot både ett halvledarföretag och ett oidentifierat mjukvaruutvecklingsföretag.
Ytterligare offer som identifierats i senare forskning inkluderar ett universitet i Peking, en elektroniktillverkare i Taiwan, ett bilföretag och en regional filial av ett japanskt tillverkningsföretag. Analytiker registrerade också ytterligare aktivitet i Kambodja under 2025, där ytterligare två organisationer, en inom bilsektorn och en annan knuten till en japansk tillverkare, riktades mot SlowStepper.
AitM-förgiftning: PlushDaemons primära entréstrategi
Gruppen förlitar sig starkt på AitM-förgiftning som sin initiala intrångsteknik, en trend som i allt högre grad delas bland andra Kina-anslutna APT-kluster som LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood och FontGoblin. PlushDaemon initierar sin attackkedja genom att kompromettera en nätverksenhet i edge-nätverket som offret sannolikt kommer att ansluta via. Komprometteringen härrör vanligtvis från opatchade sårbarheter eller svag autentisering.
När enheten är under kontroll installeras EdgeStepper för att manipulera DNS-trafik. Den skadliga DNS-noden utvärderar inkommande förfrågningar och svarar med den kapande nodens IP-adress när den upptäcker domäner kopplade till programuppdateringar. Denna konfiguration möjliggör skadlig leverans av nyttolaster utan att omedelbart väcka misstanke.
Kapade uppdateringskanaler och distributionskedjan
PlushDaemons kampanj inspekterar specifikt uppdateringsmekanismer som används av flera kinesiska applikationer, inklusive Sogou Pinyin, för att omdirigera legitim uppdateringstrafik. Genom denna manipulation distribuerar angriparna en skadlig DLL med namnet LittleDaemon (popup_4.2.0.2246.dll), som fungerar som ett förstastegsimplantat. Om systemet inte redan är värd för SlowStepper-bakdörren kontaktar LittleDaemon angriparnoden och hämtar en nedladdare som heter DaemonicLogistics.
DaemonicLogistics roll är enkel: ladda ner och kör SlowStepper. När SlowStepper är aktivt levererar det ett brett utbud av funktioner som inkluderar insamling av systeminformation, filhämtning, extrahering av webbläsaruppgifter, hämtning av data från flera meddelandeprogram och borttagning av sig själv vid behov.
Utökade möjligheter genom koordinerade implantat
Den kombinerade funktionaliteten hos EdgeStepper, LittleDaemon, DaemonicLogistics och SlowStepper utrustar PlushDaemon med en omfattande verktygsuppsättning som kan kompromettera organisationer över hela världen. Deras samordnade användning ger gruppen permanent åtkomst, förmåga att förhindra datastöld och en flexibel infrastruktur för långsiktig verksamhet över flera regioner.
Viktiga observationer
PlushDaemons verksamhet avslöjar flera genomgående teman. Gruppen förlitar sig starkt på adversary-in-the-middle-förgiftning som sin föredragna metod för att få ett initialt fotfäste, och använder den för att fånga upp och omdirigera trafik vid nätverkskanten. När ett mål har komprometterats förlitar sig hotbildaren på SlowStepper som sitt huvudsakliga implantat efter intrång, och drar nytta av dess omfattande datainsamlings- och systemrekognoseringsfunktioner. Effektiviteten i detta arbetsflöde förstärks av EdgeSteppers förmåga att manipulera DNS-svar, vilket gör det möjligt för angriparna att i tysthet omdirigera legitim programuppdateringstrafik mot sin egen infrastruktur.
