Cửa sau EdgeStepper

Một tác nhân đe dọa liên kết với Trung Quốc, được biết đến với tên gọi PlushDaemon, đã được liên kết với một backdoor mạng dựa trên Go mới được phát hiện có tên là EdgeStepper, một công cụ được thiết kế để hỗ trợ các hoạt động tấn công trung gian (AitM). Bằng cách thao túng lưu lượng mạng ở cấp độ DNS, nhóm này đã mở rộng khả năng chặn và chuyển hướng luồng dữ liệu cho các chiến dịch xâm nhập có mục tiêu trên nhiều khu vực.

EdgeStepper: Chuyển hướng lưu lượng truy cập đến cơ sở hạ tầng độc hại

EdgeStepper hoạt động như một cơ chế chiếm quyền điều khiển ở cấp độ mạng. Sau khi được triển khai, nó sẽ định tuyến lại mọi yêu cầu DNS đến một nút độc hại bên ngoài. Thao tác này sẽ chuyển hướng lưu lượng truy cập dành cho cơ sở hạ tầng cập nhật phần mềm hợp pháp và thay vào đó chuyển tiếp đến các hệ thống do kẻ tấn công kiểm soát.

Về mặt nội bộ, công cụ hoạt động thông qua hai mô-đun chính. Mô-đun Phân phối (Distributor) phân giải địa chỉ của nút DNS độc hại (ví dụ: test.dsc.wcsset.com), trong khi Mô-đun Thước (Ruler) cấu hình các quy tắc lọc gói tin thông qua iptables để thực thi việc chuyển hướng. Trong một số trường hợp, nút DNS và nút chiếm quyền điều khiển là một, khiến dịch vụ DNS trả về địa chỉ IP của chính nó trong quá trình giả mạo.

Hoạt động dài hạn và mục tiêu toàn cầu

Hoạt động ít nhất từ năm 2018, PlushDaemon tập trung vào các tổ chức trên khắp Hoa Kỳ, New Zealand, Campuchia, Hồng Kông, Đài Loan, Hàn Quốc và Trung Quốc đại lục. Hoạt động của nhóm này lần đầu tiên được báo cáo chính thức vào tháng 1 năm 2025 trong một cuộc điều tra về một vụ xâm phạm chuỗi cung ứng liên quan đến nhà cung cấp VPN IPany của Hàn Quốc. Sự cố đó đã tiết lộ cách những kẻ tấn công triển khai mã độc cấy ghép đa chức năng SlowStepper nhắm vào cả một công ty bán dẫn và một công ty phát triển phần mềm chưa được xác định.

Các nạn nhân khác được xác định trong các nghiên cứu sau này bao gồm một trường đại học ở Bắc Kinh, một nhà sản xuất thiết bị điện tử ở Đài Loan, một công ty ô tô và một chi nhánh khu vực của một doanh nghiệp sản xuất Nhật Bản. Các nhà phân tích cũng ghi nhận thêm hoạt động tại Campuchia vào năm 2025, nơi hai tổ chức nữa, một trong lĩnh vực ô tô và một tổ chức khác có liên hệ với một nhà sản xuất Nhật Bản, đã bị SlowStepper nhắm mục tiêu.

Ngộ độc AitM: Chiến lược xâm nhập chính của PlushDaemon

Nhóm này chủ yếu dựa vào việc đầu độc AitM làm kỹ thuật xâm nhập ban đầu, một xu hướng ngày càng phổ biến trong các nhóm APT khác có liên hệ với Trung Quốc như LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood và FontGoblin. PlushDaemon bắt đầu chuỗi tấn công bằng cách xâm nhập vào một thiết bị mạng biên mà nạn nhân có khả năng kết nối thông qua. Việc xâm nhập thường bắt nguồn từ các lỗ hổng chưa được vá hoặc xác thực yếu.

Sau khi thiết bị được kiểm soát, EdgeStepper được cài đặt để thao túng lưu lượng DNS. Nút DNS độc hại sẽ đánh giá các yêu cầu đến và khi phát hiện các tên miền được liên kết với bản cập nhật phần mềm, nó sẽ phản hồi bằng địa chỉ IP của nút chiếm quyền điều khiển. Thiết lập này cho phép phân phối dữ liệu độc hại mà không gây nghi ngờ ngay lập tức.

Kênh cập nhật bị chiếm đoạt và chuỗi triển khai

Chiến dịch của PlushDaemon đặc biệt kiểm tra các cơ chế cập nhật được một số ứng dụng Trung Quốc sử dụng, bao gồm Sogou Pinyin, để chuyển hướng lưu lượng cập nhật hợp pháp. Thông qua thao tác này, kẻ tấn công phân phối một DLL độc hại có tên LittleDaemon (popup_4.2.0.2246.dll), đóng vai trò là phần mềm cấy ghép giai đoạn đầu. Nếu hệ thống chưa lưu trữ backdoor SlowStepper, LittleDaemon sẽ liên hệ với nút của kẻ tấn công và tải xuống một trình tải xuống có tên DaemonicLogistics.

Vai trò của DaemonicLogistics rất đơn giản: tải xuống và chạy SlowStepper. Sau khi kích hoạt, SlowStepper cung cấp một loạt các tính năng bao gồm thu thập thông tin hệ thống, lấy tệp, trích xuất thông tin đăng nhập trình duyệt, lấy dữ liệu từ nhiều ứng dụng nhắn tin và tự xóa nếu cần.

Mở rộng khả năng thông qua cấy ghép phối hợp

Chức năng kết hợp của EdgeStepper, LittleDaemon, DaemonicLogistics và SlowStepper trang bị cho PlushDaemon một bộ công cụ toàn diện có khả năng xâm nhập vào các tổ chức trên toàn thế giới. Việc sử dụng phối hợp các công cụ này mang lại cho nhóm khả năng truy cập liên tục, khả năng đánh cắp dữ liệu và một cơ sở hạ tầng linh hoạt cho các hoạt động xuyên khu vực dài hạn.

Những quan sát chính

Hoạt động của PlushDaemon cho thấy một số điểm chung. Nhóm này chủ yếu dựa vào phương pháp đầu độc kẻ thù ở giữa (object-in-the-middle poisoning) như một phương pháp ưa thích để chiếm được chỗ đứng ban đầu, sử dụng nó để chặn và chuyển hướng lưu lượng truy cập ở biên mạng. Một khi mục tiêu bị xâm nhập, kẻ tấn công sẽ dựa vào SlowStepper làm công cụ cấy ghép hậu xâm nhập chính, tận dụng các tính năng thu thập dữ liệu và trinh sát hệ thống mở rộng của nó. Hiệu quả của quy trình làm việc này được củng cố bởi khả năng thao túng phản hồi DNS của EdgeStepper, cho phép kẻ tấn công âm thầm chuyển hướng lưu lượng cập nhật phần mềm hợp pháp đến cơ sở hạ tầng của chúng.