EdgeStepper 后门
一个名为 PlushDaemon 的中国关联威胁组织被发现与一种名为 EdgeStepper 的基于 Go 语言的网络后门程序有关。EdgeStepper 是一款旨在支持中间人攻击 (AitM) 的工具。该组织通过在 DNS 层操纵网络流量,扩展了其拦截和重定向数据流的能力,从而能够跨多个地区发起有针对性的入侵活动。
目录
EdgeStepper:将流量重定向到恶意基础设施
EdgeStepper 是一种网络级劫持机制。一旦部署,它会将所有 DNS 请求重定向到外部恶意节点。这种操控会将原本用于合法软件更新基础设施的流量转移到攻击者控制的系统。
该工具内部通过两个主要模块运行。分发器(Distributor)解析恶意 DNS 节点的地址(例如 test.dsc.wcsset.com),而统治器(Ruler)则通过 iptables 配置数据包过滤规则以强制重定向。在某些情况下,DNS 节点和劫持节点是同一个,导致 DNS 服务在欺骗过程中返回自身的 IP 地址。
长期行动和全球目标
PlushDaemon 至少自 2018 年起便开始活跃,其攻击目标遍及美国、新西兰、柬埔寨、香港、台湾、韩国和中国大陆等地的组织机构。该组织的活动最早于 2025 年 1 月被正式披露,当时正值对韩国 VPN 提供商 IPany 的供应链安全漏洞进行调查之际。该事件揭露了攻击者如何针对一家半导体公司和一家身份不明的软件开发公司部署了多功能植入程序 SlowStepper。
后续研究发现的其他受害者包括北京的一所大学、台湾的一家电子产品制造商、一家汽车公司以及一家日本制造企业的区域分支机构。分析人士还记录到,2025年柬埔寨也出现了类似的活动,另有两家机构成为SlowStepper攻击的目标,一家是汽车行业的机构,另一家与一家日本制造商有关。
AitM 中毒:PlushDaemon 的主要切入策略
该组织严重依赖 AITM 投毒作为其初始入侵技术,这种趋势在其他与中国有关联的 APT 集群中也日益普遍,例如 LuoYu、Evasive Panda、BlackTech、TheWizards APT、Blackwood 和 FontGoblin。PlushDaemon 通过入侵受害者可能连接的边缘网络设备来启动其攻击链。这种入侵通常源于未修补的漏洞或薄弱的身份验证。
一旦控制了该设备,就会安装 EdgeStepper 来操纵 DNS 流量。恶意 DNS 节点会评估传入的请求,并在检测到与软件更新相关的域名时,返回劫持节点的 IP 地址。这种设置使得恶意程序能够在不立即引起怀疑的情况下传递有效载荷。
被劫持的更新通道和部署链
PlushDaemon 的攻击活动专门针对包括搜狗拼音在内的多个中国应用程序的更新机制进行检查,以重定向合法的更新流量。通过这种操纵,攻击者分发一个名为 LittleDaemon (popup_4.2.0.2246.dll) 的恶意 DLL 文件,作为第一阶段植入程序。如果系统尚未安装 SlowStepper 后门,LittleDaemon 会联系攻击者节点并获取名为 DaemonicLogistics 的下载器。
DaemonicLogistics 的作用很简单:下载并运行 SlowStepper。激活后,SlowStepper 提供一系列强大的功能,包括收集系统信息、获取文件、提取浏览器凭据、从多个消息应用程序中提取数据,并在必要时自动卸载自身。
通过协调植入物扩展能力
EdgeStepper、LittleDaemon、DaemonicLogistics 和 SlowStepper 的综合功能使 PlushDaemon 拥有了一套全面的工具集,足以攻破全球各地的组织机构。它们的协同使用赋予了该组织持续的访问权限、数据窃取能力以及用于长期跨区域行动的灵活基础设施。
关键观察结果
PlushDaemon 的行动展现出几个一致的主题。该组织主要依赖中间人攻击作为其首选的初始立足点,利用该技术在网络边缘拦截并重定向流量。一旦目标系统被攻破,攻击者便依赖 SlowStepper 作为其主要的入侵后植入程序,充分利用其强大的数据收集和系统侦察功能。EdgeStepper 操纵 DNS 响应的能力进一步增强了这一工作流程的有效性,攻击者可以利用该能力悄无声息地将合法的软件更新流量重定向到自己的基础设施。
