EdgeStepper Arka Kapısı
PlushDaemon olarak bilinen Çin yanlısı bir tehdit aktörü, yeni keşfedilen ve ortadaki saldırgan (AitM) operasyonlarını desteklemek üzere tasarlanmış bir araç olan EdgeStepper adlı Go tabanlı bir ağ arka kapısıyla ilişkilendirildi. Bu grup, ağ trafiğini DNS düzeyinde manipüle ederek, birden fazla bölgede hedefli saldırı kampanyaları için veri akışlarını engelleme ve yönlendirme yeteneğini genişletti.
İçindekiler
EdgeStepper: Trafiği Kötü Amaçlı Altyapıya Yönlendirme
EdgeStepper, ağ düzeyinde bir ele geçirme mekanizması görevi görür. Dağıtıldıktan sonra, her DNS isteğini harici bir kötü amaçlı düğüme yönlendirir. Bu manipülasyon, meşru yazılım güncelleme altyapısına yönelik trafiği yönlendirir ve bunun yerine saldırganın kontrolündeki sistemlere iletir.
Araç, dahili olarak iki ana modül aracılığıyla çalışır. Dağıtıcı, kötü amaçlı DNS düğümünün adresini (örneğin, test.dsc.wcsset.com) çözümlerken, Yönetici, yönlendirmeyi zorunlu kılmak için iptables aracılığıyla paket filtreleme kurallarını yapılandırır. Bazı durumlarda, DNS düğümü ve ele geçirme düğümü aynı düğüm olduğundan, DNS hizmetinin kimlik sahtekarlığı işlemi sırasında kendi IP adresini döndürmesine neden olur.
Uzun Süreli Operasyonlar ve Küresel Hedefleme
En az 2018'den beri faaliyet gösteren PlushDaemon, ABD, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan, Güney Kore ve Çin anakarasındaki kuruluşlara odaklanmıştır. Faaliyetleri ilk olarak Ocak 2025'te, Güney Koreli VPN sağlayıcısı IPany'yi ilgilendiren bir tedarik zinciri ihlali soruşturması sırasında resmi olarak rapor edilmiştir. Bu olay, saldırganların çok işlevli SlowStepper implantını hem bir yarı iletken firmasına hem de kimliği belirsiz bir yazılım geliştirme şirketine nasıl yerleştirdiğini ortaya koymuştur.
Daha sonraki araştırmalarda tespit edilen diğer kurbanlar arasında Pekin'deki bir üniversite, Tayvan'daki bir elektronik üreticisi, bir otomotiv şirketi ve bir Japon imalat şirketinin bölge şubesi yer alıyor. Analistler ayrıca, 2025 yılında Kamboçya'da da bir faaliyet kaydetti; biri otomotiv sektöründe, diğeri ise bir Japon üreticiyle bağlantılı iki kuruluş daha SlowStepper ile hedef alındı.
AitM Zehirlenmesi: PlushDaemon’un Birincil Giriş Stratejisi
Grup, ilk saldırı tekniği olarak büyük ölçüde AitM zehirlemesine güveniyor. Bu eğilim, LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood ve FontGoblin gibi Çin bağlantılı diğer APT kümelerinde de giderek yaygınlaşıyor. PlushDaemon, saldırı zincirini, kurbanın bağlanma olasılığı yüksek olan bir uç ağ cihazını ele geçirerek başlatıyor. Bu ihlal genellikle yamalanmamış güvenlik açıklarından veya zayıf kimlik doğrulamasından kaynaklanıyor.
Cihaz kontrol altına alındığında, DNS trafiğini manipüle etmek için EdgeStepper kurulur. Kötü amaçlı DNS düğümü, gelen istekleri değerlendirir ve yazılım güncellemelerine bağlı etki alanlarını tespit ettiğinde, ele geçiren düğümün IP adresiyle yanıt verir. Bu kurulum, anında şüphe uyandırmadan kötü amaçlı yüklerin iletilmesini sağlar.
Ele Geçirilen Güncelleme Kanalları ve Dağıtım Zinciri
PlushDaemon'ın kampanyası, Sogou Pinyin de dahil olmak üzere birçok Çin uygulamasının meşru güncelleme trafiğini yönlendirmek için kullandığı güncelleme mekanizmalarını özel olarak inceliyor. Saldırganlar, bu manipülasyon yoluyla, ilk aşama aşılama işlevi gören LittleDaemon (popup_4.2.0.2246.dll) adlı kötü amaçlı bir DLL dağıtıyor. Sistem SlowStepper arka kapısını henüz barındırmıyorsa, LittleDaemon saldırgan düğümüyle iletişime geçerek DaemonicLogistics adlı bir indiriciyi ele geçiriyor.
DaemonicLogistics'in rolü basittir: SlowStepper'ı indirip çalıştırmak. SlowStepper, etkinleştirildikten sonra sistem ayrıntılarını toplama, dosyaları edinme, tarayıcı kimlik bilgilerini çıkarma, birden fazla mesajlaşma uygulamasından veri çekme ve gerekirse kendini kaldırma gibi geniş bir yetenek yelpazesi sunar.
Koordineli İmplantlar Sayesinde Genişletilmiş Yetenekler
EdgeStepper, LittleDaemon, DaemonicLogistics ve SlowStepper'ın birleşik işlevselliği, PlushDaemon'a dünya çapındaki kuruluşları tehlikeye atabilecek kapsamlı bir araç seti kazandırır. Koordineli kullanımları, gruba sürekli erişim, veri hırsızlığı yetenekleri ve uzun vadeli bölgeler arası operasyonlar için esnek bir altyapı sağlar.
Temel Gözlemler
PlushDaemon'un operasyonları birkaç tutarlı temayı ortaya koyuyor. Grup, ilk tutunma noktasını elde etmek için tercih ettiği yöntem olarak, ağ ucundaki trafiği durdurup yeniden yönlendirmek için çoğunlukla ortadaki düşman zehirlemesine güveniyor. Bir hedef ele geçirildiğinde, tehdit aktörü, kapsamlı veri toplama ve sistem keşif özelliklerinden yararlanarak, ana saldırı sonrası uygulaması olarak SlowStepper'a güveniyor. Bu iş akışının etkinliği, EdgeStepper'ın DNS yanıtlarını manipüle etme yeteneğiyle pekiştiriliyor ve bu da saldırganların meşru yazılım güncelleme trafiğini sessizce kendi altyapılarına yönlendirmelerine olanak tanıyor.
