Бекдор EdgeStepper
Пов'язаний з Китаєм зловмисник під назвою PlushDaemon був пов'язаний з нещодавно виявленим мережевим бекдором на базі Go під назвою EdgeStepper – інструментом, розробленим для підтримки операцій типу «злочинець посередині» (AitM). Маніпулюючи мережевим трафіком на рівні DNS, ця група розширила свої можливості перехоплювати та перенаправляти потоки даних для цільових кампаній з вторгнення в кількох регіонах.
Зміст
EdgeStepper: Перенаправлення трафіку на шкідливу інфраструктуру
EdgeStepper діє як механізм захоплення даних на мережевому рівні. Після розгортання він перенаправляє кожен DNS-запит на зовнішній шкідливий вузол. Ця маніпуляція перенаправляє трафік, призначений для легітимної інфраструктури оновлення програмного забезпечення, і натомість пересилає його до систем, що знаходяться під контролем зловмисника.
Внутрішньо інструмент працює через два основні модулі. Розповсюджувач визначає адресу шкідливого DNS-вузла (наприклад, test.dsc.wcsset.com), тоді як Правитель налаштовує правила фільтрації пакетів через iptables для забезпечення перенаправлення. У деяких випадках DNS-вузол та вузол-перехоплювач є одним і тим самим, що призводить до того, що служба DNS повертає власну IP-адресу під час процесу підміни.
Тривалі операції та глобальне таргетування
Активна щонайменше з 2018 року, PlushDaemon зосередилася на організаціях у США, Новій Зеландії, Камбоджі, Гонконзі, Тайвані, Південній Кореї та материковому Китаї. Про її діяльність вперше офіційно повідомили у січні 2025 року під час розслідування компрометації ланцюга поставок за участю південнокорейського VPN-провайдера IPany. Цей інцидент розкрив, як зловмисники застосували багатофункціональний імплант SlowStepper проти напівпровідникової фірми та невстановленої компанії з розробки програмного забезпечення.
Серед інших жертв, виявлених у пізніших дослідженнях, були університет у Пекіні, виробник електроніки на Тайвані, автомобільна компанія та регіональне відділення японського виробничого підприємства. Аналітики також зафіксували подальшу активність у Камбоджі у 2025 році, де ще дві організації, одна в автомобільному секторі, а інша пов'язана з японським виробником, стали мішенню SlowStepper.
Отруєння AitM: Основна стратегія входу PlushDaemon
Група значною мірою покладається на отруєння AitM як свою початкову техніку вторгнення, тенденція, яка дедалі частіше поширюється серед інших пов'язаних з Китаєм APT-кластерів, таких як LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood та FontGoblin. PlushDaemon ініціює свій ланцюг атак, компрометуючи пристрій периферійної мережі, через який жертва, ймовірно, підключиться. Компрометація зазвичай виникає через невиправлені вразливості або слабку автентифікацію.
Після того, як пристрій взято під контроль, встановлюється EdgeStepper для маніпулювання DNS-трафіком. Шкідливий DNS-вузол оцінює вхідні запити та, виявляючи домени, пов'язані з оновленнями програмного забезпечення, відповідає IP-адресою вузла-перехоплювача. Така конфігурація дозволяє шкідливій доставці корисних даних, не викликаючи одразу підозр.
Викрадені канали оновлень та ланцюжок розгортання
Кампанія PlushDaemon спеціально перевіряє механізми оновлення, що використовуються кількома китайськими програмами, включаючи Sogou Pinyin, для перенаправлення легітимного трафіку оновлень. За допомогою цієї маніпуляції зловмисники розповсюджують шкідливу DLL-бібліотеку під назвою LittleDaemon (popup_4.2.0.2246.dll), яка служить імплантатом першого етапу. Якщо в системі ще немає бекдору SlowStepper, LittleDaemon зв'язується з вузлом зловмисника та отримує завантажувач під назвою DaemonicLogistics.
Роль DaemonicLogistics проста: завантажити та запустити SlowStepper. Після активації SlowStepper надає широкий спектр можливостей, включаючи збір системної інформації, отримання файлів, вилучення облікових даних браузера, отримання даних з кількох програм обміну повідомленнями та видалення себе за потреби.
Розширені можливості завдяки скоординованим імплантатам
Поєднання функціональності EdgeStepper, LittleDaemon, DaemonicLogistics та SlowStepper надає PlushDaemon комплексний набір інструментів, здатних компрометувати організації по всьому світу. Їх скоординоване використання надає групі постійний доступ, можливості крадіжки даних та гнучку інфраструктуру для довгострокових міжрегіональних операцій.
Ключові спостереження
Операції PlushDaemon виявляють кілька послідовних тем. Група значною мірою покладається на отруєння зловмисників посередині як на свій головний метод для отримання початкового плацдарму, використовуючи його для перехоплення та перенаправлення трафіку на межі мережі. Після того, як ціль скомпрометовано, зловмисник покладається на SlowStepper як свій основний імплантат після вторгнення, використовуючи його розширені функції збору даних та системної розвідки. Ефективність цього робочого процесу підкріплюється здатністю EdgeStepper маніпулювати відповідями DNS, що дозволяє зловмисникам непомітно перенаправляти легітимний трафік оновлень програмного забезпечення до власної інфраструктури.
