Zadní vrátka EdgeStepper
Čínský hackerský aktér známý jako PlushDaemon byl propojen s nově odhaleným síťovým backdoorem založeným na Go s názvem EdgeStepper, což je nástroj navržený pro podporu operací typu „protivník uprostřed“ (AitM). Manipulací síťového provozu na úrovni DNS tato skupina rozšířila svou schopnost zachycovat a přesměrovávat datové toky pro cílené intruzní kampaně v různých regionech.
Obsah
EdgeStepper: Přesměrování provozu na škodlivou infrastrukturu
EdgeStepper funguje jako mechanismus pro únos DNS na úrovni sítě. Po nasazení přesměruje každý DNS požadavek na externí škodlivý uzel. Tato manipulace přesměruje provoz určený pro legitimní infrastrukturu aktualizací softwaru a místo toho jej přeposílá do systémů pod kontrolou útočníka.
Nástroj interně funguje prostřednictvím dvou primárních modulů. Distributor rozpoznává adresu škodlivého uzlu DNS (např. test.dsc.wcsset.com), zatímco Pravítko konfiguruje pravidla filtrování paketů pomocí iptables pro vynucení přesměrování. V některých případech jsou uzel DNS a uzel pro únos serveru jeden a tentýž uzel, což způsobuje, že služba DNS během procesu falešné identifikace vrací svou vlastní IP adresu.
Dlouhodobé operace a globální cílení
PlushDaemon, aktivní nejméně od roku 2018, se zaměřuje na organizace v USA, na Novém Zélandu, v Kambodži, Hongkongu, na Tchaj-wanu, v Jižní Koreji a pevninské Číně. Jeho aktivity byly poprvé oficiálně zaznamenány v lednu 2025 během vyšetřování kompromitace dodavatelského řetězce, do kterého byl zapojen jihokorejský poskytovatel VPN IPany. Tento incident odhalil, jak útočníci nasadili multifunkční implantát SlowStepper proti firmě zabývající se polovodiči i neidentifikované softwarové společnosti.
Mezi další oběti identifikované v pozdějším výzkumu patří univerzita v Pekingu, výrobce elektroniky na Tchaj-wanu, automobilová společnost a regionální pobočka japonského výrobního podniku. Analytici také zaznamenali další aktivitu v Kambodži v roce 2025, kde se útokem SlowStepper staly další dvě organizace, jedna v automobilovém sektoru a druhá spojená s japonským výrobcem.
Otrava AitM: Hlavní vstupní strategie PlushDaemona
Skupina se silně spoléhá na otravu AitM jako svou počáteční techniku narušení, což je trend, který stále častěji sdílejí i další APT klastry napojené na Čínu, jako jsou LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood a FontGoblin. PlushDaemon zahajuje svůj útočný řetězec kompromitací zařízení na okraji sítě, přes které se oběť pravděpodobně připojí. Kompromitace obvykle pramení z neopravených zranitelností nebo slabého ověřování.
Jakmile je zařízení pod kontrolou, nainstaluje se EdgeStepper, který manipuluje s DNS provozem. Škodlivý DNS uzel vyhodnocuje příchozí požadavky a při detekci domén vázaných na aktualizace softwaru odpovídá s IP adresou únosného uzlu. Toto nastavení umožňuje škodlivé doručování dat bez okamžitého vzbudení podezření.
Napadené aktualizační kanály a řetězec nasazení
Kampaň PlushDaemon konkrétně kontroluje aktualizační mechanismy používané několika čínskými aplikacemi, včetně Sogou Pinyin, k přesměrování legitimního aktualizačního provozu. Prostřednictvím této manipulace útočníci distribuují škodlivou knihovnu DLL s názvem LittleDaemon (popup_4.2.0.2246.dll), která slouží jako implantát první fáze. Pokud systém ještě nehostí zadní vrátka SlowStepper, LittleDaemon kontaktuje uzel útočníka a načte stahovací program s názvem DaemonicLogistics.
Úloha DaemonicLogistics je přímočará: stáhnout a spustit SlowStepper. Po aktivaci nabízí SlowStepper širokou škálu funkcí, které zahrnují shromažďování systémových údajů, získávání souborů, extrakci přihlašovacích údajů prohlížeče, stahování dat z různých aplikací pro zasílání zpráv a v případě potřeby i vlastní odstranění.
Rozšířené možnosti díky koordinovaným implantátům
Kombinovaná funkcionalita EdgeStepper, LittleDaemon, DaemonicLogistics a SlowStepper vybavuje PlushDaemon komplexní sadou nástrojů schopnou kompromitovat organizace po celém světě. Jejich koordinované použití poskytuje skupině trvalý přístup, možnosti ochrany před krádeží dat a flexibilní infrastrukturu pro dlouhodobé operace napříč regiony.
Klíčová pozorování
Operace PlushDaemon odhalují několik konzistentních témat. Skupina se silně spoléhá na metodu „otravování prostředníka“ jako na svou preferovanou metodu pro získání počátečního oporu a používá ji k zachycení a přesměrování provozu na okraji sítě. Jakmile je cíl napaden, útočník se spoléhá na SlowStepper jako svůj hlavní implantát po narušení a využívá jeho rozsáhlé funkce pro shromažďování dat a systémový průzkum. Efektivitu tohoto pracovního postupu posiluje schopnost EdgeStepperu manipulovat s odpověďmi DNS, což útočníkům umožňuje nenápadně přesměrovat legitimní provoz aktualizací softwaru do jejich vlastní infrastruktury.
