EdgeStepper Bagdør
En trusselsaktør med tilknytning til Kina, kendt som PlushDaemon, er blevet forbundet med en nyligt afdækket Go-baseret netværksbagdør ved navn EdgeStepper, et værktøj udviklet til at understøtte AitM-operationer (adversary-in-the-middle). Ved at manipulere netværkstrafik på DNS-niveau har denne gruppe udvidet sin evne til at opfange og omdirigere datastrømme til målrettede indtrængningskampagner på tværs af flere regioner.
Indholdsfortegnelse
EdgeStepper: Omdirigering af trafik til skadelig infrastruktur
EdgeStepper fungerer som en hijacking-mekanisme på netværksniveau. Når den er implementeret, omdirigerer den alle DNS-anmodninger til en ekstern, ondsindet node. Denne manipulation omdirigerer trafik, der er beregnet til legitim softwareopdateringsinfrastruktur, og videresender den i stedet til systemer under angriberens kontrol.
Internt fungerer værktøjet gennem to primære moduler. Distributøren genkender den ondsindede DNS-nodes adresse (f.eks. test.dsc.wcsset.com), mens Ruleren konfigurerer pakkefiltreringsregler via iptables for at håndhæve omdirigeringen. I nogle tilfælde er DNS-noden og hijacking-noden den samme, hvilket får DNS-tjenesten til at returnere sin egen IP-adresse under spoofing-processen.
Langvarig drift og global målretning
PlushDaemon har været aktiv siden mindst 2018 og har fokuseret på organisationer i USA, New Zealand, Cambodja, Hongkong, Taiwan, Sydkorea og det kinesiske fastland. Virksomhedens aktiviteter blev først formelt rapporteret i januar 2025 under en undersøgelse af en forsyningskædekompromittering, der involverede den sydkoreanske VPN-udbyder IPany. Hændelsen afslørede, hvordan angriberne implementerede det multifunktionelle implantat SlowStepper mod både en halvledervirksomhed og et uidentificeret softwareudviklingsfirma.
Yderligere ofre identificeret i senere forskning omfatter et universitet i Beijing, en elektronikproducent i Taiwan, en bilvirksomhed og en regional afdeling af en japansk produktionsvirksomhed. Analytikere registrerede også yderligere aktivitet i Cambodja i 2025, hvor to yderligere organisationer, en i bilsektoren og en anden tilknyttet en japansk producent, blev målrettet med SlowStepper.
AitM-forgiftning: PlushDaemons primære indgangsstrategi
Gruppen er i høj grad afhængig af AitM-forgiftning som sin indledende indtrængningsteknik, en tendens der i stigende grad deles blandt andre Kina-tilknyttede APT-klynger såsom LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood og FontGoblin. PlushDaemon initierer sin angrebskæde ved at kompromittere en edge-netværksenhed, som offeret sandsynligvis vil oprette forbindelse via. Kompromitteringen stammer typisk fra ikke-opdateringer eller svag godkendelse.
Når enheden er under kontrol, installeres EdgeStepper for at manipulere DNS-trafik. Den ondsindede DNS-node evaluerer indgående anmodninger, og når den registrerer domæner, der er knyttet til softwareopdateringer, svarer den med den kaprende nodes IP-adresse. Denne opsætning muliggør ondsindet levering af nyttelast uden øjeblikkelig mistanke.
Kaprede opdateringskanaler og implementeringskæden
PlushDaemons kampagne inspicerer specifikt opdateringsmekanismer, der bruges af flere kinesiske applikationer, herunder Sogou Pinyin, til at omdirigere legitim opdateringstrafik. Gennem denne manipulation distribuerer angriberne en ondsindet DLL ved navn LittleDaemon (popup_4.2.0.2246.dll), der fungerer som et første-trins implantat. Hvis systemet ikke allerede er vært for SlowStepper-bagdøren, kontakter LittleDaemon angribernoden og henter en downloader kaldet DaemonicLogistics.
DaemonicLogistics' rolle er ligetil: download og kør SlowStepper. Når SlowStepper er aktiv, leverer den en bred vifte af funktioner, herunder indsamling af systemoplysninger, hentning af filer, udtrækning af browseroplysninger, hentning af data fra flere beskedprogrammer og fjernelse af sig selv, hvis det er nødvendigt.
Udvidede muligheder gennem koordinerede implantater
Den kombinerede funktionalitet af EdgeStepper, LittleDaemon, DaemonicLogistics og SlowStepper udstyrer PlushDaemon med et omfattende værktøjssæt, der er i stand til at kompromittere organisationer over hele verden. Deres koordinerede brug giver gruppen vedvarende adgang, datatyveribeskyttelse og en fleksibel infrastruktur til langvarig drift på tværs af regioner.
Vigtigste observationer
PlushDaemons operationer afslører flere gennemgående temaer. Gruppen er i høj grad afhængig af adversary-in-the-middle-forgiftning som sin foretrukne metode til at få fodfæste i starten, og bruger den til at opfange og omdirigere trafik i netværkets kant. Når et mål er kompromitteret, er trusselsaktøren afhængig af SlowStepper som sit primære post-intrusion-implantat og udnytter dets omfattende dataindsamlings- og systemrekognosceringsfunktioner. Effektiviteten af denne arbejdsgang forstærkes af EdgeSteppers evne til at manipulere DNS-svar, hvilket giver angriberne mulighed for i stilhed at omdirigere legitim softwareopdateringstrafik mod deres egen infrastruktur.
