Задна вратичка на EdgeStepper
Свързан с Китай хакер, известен като PlushDaemon, е свързан с новоразкрита мрежова задна вратичка, базирана на Go, наречена EdgeStepper, инструмент, проектиран да поддържа операции „противник по средата“ (AitM). Чрез манипулиране на мрежовия трафик на ниво DNS, тази група е разширила способността си да прихваща и пренасочва потоци от данни за целенасочени кампании за проникване в множество региони.
Съдържание
EdgeStepper: Пренасочване на трафика към злонамерена инфраструктура
EdgeStepper действа като механизъм за отвличане на данни на мрежово ниво. След внедряване, той пренасочва всяка DNS заявка към външен злонамерен възел. Тази манипулация пренасочва трафика, предназначен за легитимна инфраструктура за актуализации на софтуер, и вместо това го пренасочва към системи под контрола на нападателя.
Вътрешно инструментът работи чрез два основни модула. Дистрибуторът (Distributor) разрешава адреса на злонамерения DNS възел (напр. test.dsc.wcsset.com), докато Рулерът (Ruler) конфигурира правила за филтриране на пакети чрез iptables, за да наложи пренасочването. В някои случаи DNS възелът и отвличащият възел (hitching) са едно и също нещо, което кара DNS услугата да връща собствен IP адрес по време на процеса на подправяне (spoofing).
Дългосрочни операции и глобално таргетиране
Активен поне от 2018 г., PlushDaemon се е фокусирал върху организации в САЩ, Нова Зеландия, Камбоджа, Хонконг, Тайван, Южна Корея и континентален Китай. Дейностите му бяха официално съобщени за първи път през януари 2025 г. по време на разследване на компрометиране на веригата за доставки, включващо южнокорейския VPN доставчик IPany. Този инцидент разкри как нападателите са използвали многофункционалния имплант SlowStepper както срещу фирма за полупроводници, така и срещу неидентифицирана компания за разработка на софтуер.
Допълнителни жертви, идентифицирани в по-късни изследвания, включват университет в Пекин, производител на електроника в Тайван, автомобилна компания и регионален клон на японско производствено предприятие. Анализаторите също така регистрираха допълнителна активност в Камбоджа през 2025 г., където още две организации, едната в автомобилния сектор, а другата, свързана с японски производител, бяха атакувани от SlowStepper.
Отравяне с AitM: Основна стратегия за влизане в PlushDaemon
Групата разчита в голяма степен на AitM poisoning като своя първоначална техника за проникване, тенденция, която все повече се споделя сред други свързани с Китай APT клъстери, като LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood и FontGoblin. PlushDaemon инициира веригата си от атаки, като компрометира устройство в периферна мрежа, през което жертвата е вероятно да се свърже. Компрометирането обикновено произтича от неотстранени уязвимости или слабо удостоверяване.
След като устройството е под контрол, се инсталира EdgeStepper, който манипулира DNS трафика. Злонамереният DNS възел оценява входящите заявки и, когато открие домейни, свързани с актуализации на софтуера, отговаря с IP адреса на отвличащия възел. Тази настройка позволява злонамерено доставяне на полезни товари, без веднага да се поражда подозрение.
Откраднати канали за актуализация и веригата за внедряване
Кампанията на PlushDaemon специално проверява механизмите за актуализиране, използвани от няколко китайски приложения, включително Sogou Pinyin, за пренасочване на легитимен трафик за актуализиране. Чрез тази манипулация, атакуващите разпространяват злонамерен DLL файл, наречен LittleDaemon (popup_4.2.0.2246.dll), който служи като имплант на първи етап. Ако системата все още не е хоствала задната вратичка SlowStepper, LittleDaemon се свързва с възела на атакуващия и извлича файл за изтегляне, наречен DaemonicLogistics.
Ролята на DaemonicLogistics е проста: изтеглете и стартирайте SlowStepper. След като е активен, SlowStepper предоставя широк набор от възможности, които включват събиране на системни данни, получаване на файлове, извличане на идентификационни данни за браузъра, извличане на данни от множество приложения за съобщения и премахване на самото себе си, ако е необходимо.
Разширени възможности чрез координирани импланти
Комбинираната функционалност на EdgeStepper, LittleDaemon, DaemonicLogistics и SlowStepper предоставя на PlushDaemon цялостен набор от инструменти, способен да компрометира организации по целия свят. Тяхното координирано използване дава на групата постоянен достъп, възможности за кражба на данни и гъвкава инфраструктура за дългосрочни междурегионални операции.
Ключови наблюдения
Операциите на PlushDaemon разкриват няколко последователни теми. Групата разчита основно на „посредническо отравяне“ като предпочитан метод за получаване на първоначална опора, използвайки го за прихващане и пренасочване на трафика на ръба на мрежата. След като целта бъде компрометирана, злонамереният актор разчита на SlowStepper като свой основен имплант след проникване, възползвайки се от неговите обширни функции за събиране на данни и системно разузнаване. Ефективността на този работен процес се подсилва от способността на EdgeStepper да манипулира DNS отговорите, което позволява на нападателите тихомълком да пренасочват легитимен трафик за актуализации на софтуер към собствената си инфраструктура.
