الباب الخلفي EdgeStepper
تم ربط جهة تهديد موالية للصين تُعرف باسم PlushDaemon بشبكة خلفية مُكتشفة حديثًا، تعتمد على لغة Go، تُسمى EdgeStepper، وهي أداة مُصممة لدعم عمليات الخصم الوسيط (AitM). من خلال التلاعب بحركة مرور الشبكة على مستوى نظام أسماء النطاقات (DNS)، عززت هذه المجموعة قدرتها على اعتراض وإعادة توجيه تدفقات البيانات لحملات اختراق مُستهدفة عبر مناطق مُتعددة.
جدول المحتويات
EdgeStepper: إعادة توجيه حركة المرور إلى البنية التحتية الضارة
يعمل EdgeStepper كآلية اختطاف على مستوى الشبكة. بمجرد نشره، يُعيد توجيه كل طلب DNS إلى عقدة خبيثة خارجية. يُحوّل هذا التلاعب حركة البيانات المخصصة للبنية التحتية الشرعية لتحديث البرامج، ويُعيد توجيهها بدلاً من ذلك إلى أنظمة خاضعة لسيطرة المهاجم.
داخليًا، تعمل الأداة من خلال وحدتين رئيسيتين. يقوم الموزع بتحليل عنوان عقدة DNS الضارة (مثل test.dsc.wcsset.com)، بينما يقوم المسطرة بتكوين قواعد تصفية الحزم عبر iptables لفرض إعادة التوجيه. في بعض الحالات، تكون عقدة DNS وعقدة الاختطاف هي نفسها، مما يؤدي إلى إعادة خدمة DNS عنوان IP الخاص بها أثناء عملية التزييف.
العمليات طويلة الأمد والاستهداف العالمي
منذ عام ٢٠١٨ على الأقل، ركّزت شركة PlushDaemon جهودها على منظمات في الولايات المتحدة الأمريكية، ونيوزيلندا، وكمبوديا، وهونغ كونغ، وتايوان، وكوريا الجنوبية، والبر الرئيسي للصين. أُبلغ رسميًا عن أنشطتها لأول مرة في يناير ٢٠٢٥ خلال تحقيق في اختراق سلسلة توريد شمل مزود خدمة VPN الكوري الجنوبي IPany. وقد كشف هذا الحادث كيف استخدم المهاجمون برمجية SlowStepper المزروعة متعددة الوظائف ضد شركة أشباه موصلات وشركة تطوير برمجيات مجهولة الهوية.
من بين الضحايا الإضافيين الذين تم تحديدهم في أبحاث لاحقة، جامعة في بكين، وشركة تصنيع إلكترونيات في تايوان، وشركة سيارات، وفرع إقليمي لشركة تصنيع يابانية. كما سجل المحللون نشاطًا إضافيًا في كمبوديا في عام 2025، حيث استُهدفت منظمتان أخريان، إحداهما في قطاع السيارات والأخرى مرتبطة بشركة تصنيع يابانية، بهجوم SlowStepper.
تسمم AitM: استراتيجية الدخول الأساسية لـ PlushDaemon
تعتمد المجموعة بشكل كبير على تسميم AitM كتقنية اختراق أولية، وهو اتجاه شائع بشكل متزايد بين مجموعات التهديدات المتقدمة المستمرة (APT) التابعة للصين، مثل LuoYu وEvasive Panda وBlackTech وTheWizards وBlackwood وFontGoblin. تبدأ PlushDaemon سلسلة هجماتها باختراق جهاز شبكة طرفية من المرجح أن يتصل الضحية من خلاله. عادةً ما ينشأ هذا الاختراق عن ثغرات أمنية غير مُرقعة أو ضعف في المصادقة.
بمجرد السيطرة على الجهاز، يُثبّت EdgeStepper للتلاعب بحركة مرور DNS. تُقيّم عقدة DNS الخبيثة الطلبات الواردة، وعند اكتشافها نطاقات مرتبطة بتحديثات البرامج، تُرسل عنوان IP الخاص بالعقدة المُخترقة. يُمكّن هذا الإعداد من إرسال حمولات ضارة دون إثارة الشكوك فورًا.
قنوات التحديث المخترقة وسلسلة النشر
تتفحص حملة PlushDaemon تحديدًا آليات التحديث التي تستخدمها العديد من التطبيقات الصينية، بما في ذلك Sogou Pinyin، لإعادة توجيه حركة التحديثات المشروعة. من خلال هذا التلاعب، يوزع المهاجمون ملف DLL خبيثًا يُسمى LittleDaemon (popup_4.2.0.2246.dll)، والذي يعمل كزرعة في المرحلة الأولى. إذا لم يكن النظام يستضيف بالفعل الباب الخلفي SlowStepper، يتصل LittleDaemon بعقدة المهاجم ويسترد برنامج تنزيل يُسمى DaemonicLogistics.
دور DaemonicLogistics بسيط: تنزيل SlowStepper وتشغيله. بمجرد تفعيله، يوفر SlowStepper مجموعة واسعة من الإمكانيات، بما في ذلك جمع تفاصيل النظام، والحصول على الملفات، واستخراج بيانات اعتماد المتصفح، وسحب البيانات من تطبيقات مراسلة متعددة، وإزالة نفسه عند الحاجة.
قدرات موسعة من خلال الغرسات المنسقة
بفضل الوظائف المُدمجة لـ EdgeStepper وLittleDaemon وDaemonicLogistics وSlowStepper، تُزوّد PlushDaemon بمجموعة أدوات شاملة قادرة على اختراق المؤسسات حول العالم. ويتيح استخدامها المُنسّق للمجموعة وصولاً مستمرًا، وقدرة على سرقة البيانات، وبنية تحتية مرنة لعمليات طويلة الأمد عبر المناطق.
الملاحظات الرئيسية
تكشف عمليات PlushDaemon عن عدة محاور متسقة. تعتمد المجموعة بشكل كبير على التسميم الوسيط كأسلوبها المفضل لكسب موطئ قدم أولي، مستخدمةً إياه لاعتراض وإعادة توجيه حركة البيانات على حافة الشبكة. بمجرد اختراق هدف، يعتمد المُهدّد على SlowStepper كأداة رئيسية لزرع ما بعد الاختراق، مستفيدًا من ميزاته الشاملة لجمع البيانات واستطلاع النظام. وتعزز قدرة EdgeStepper على التلاعب باستجابات DNS فعالية سير العمل هذا، مما يسمح للمهاجمين بتحويل حركة تحديثات البرامج المشروعة بهدوء نحو بنيتهم التحتية الخاصة.
