در پشتی EdgeStepper

یک عامل تهدید مرتبط با چین به نام PlushDaemon به یک درِ پشتی شبکه مبتنی بر Go که به تازگی کشف شده است، به نام EdgeStepper، ابزاری که برای پشتیبانی از عملیات‌های نفوذ در میانه (AitM) طراحی شده است، مرتبط شده است. این گروه با دستکاری ترافیک شبکه در سطح DNS، توانایی خود را برای رهگیری و تغییر مسیر جریان داده‌ها برای کمپین‌های نفوذ هدفمند در مناطق مختلف گسترش داده است.

EdgeStepper: هدایت ترافیک به زیرساخت‌های مخرب

EdgeStepper به عنوان یک مکانیزم ربودن DNS در سطح شبکه عمل می‌کند. پس از استقرار، هر درخواست DNS را به یک گره مخرب خارجی هدایت می‌کند. این دستکاری، ترافیک در نظر گرفته شده برای زیرساخت‌های به‌روزرسانی نرم‌افزار قانونی را منحرف کرده و در عوض آن را به سیستم‌های تحت کنترل مهاجم ارسال می‌کند.

این ابزار از طریق دو ماژول اصلی عمل می‌کند. ماژول توزیع‌کننده (Distributor) آدرس گره DNS مخرب (مثلاً test.dsc.wcsset.com) را تشخیص می‌دهد، در حالی که ماژول حاکم (Ruler) از طریق iptables قوانین فیلتر کردن بسته‌ها را برای اعمال تغییر مسیر پیکربندی می‌کند. در برخی موارد، گره DNS و گره ربایش‌کننده یکی هستند و باعث می‌شوند سرویس DNS در طول فرآیند جعل، آدرس IP خود را بازگرداند.

عملیات بلندمدت و هدف‌گذاری جهانی

PlushDaemon که حداقل از سال ۲۰۱۸ فعال بوده، بر سازمان‌هایی در سراسر ایالات متحده، نیوزیلند، کامبوج، هنگ کنگ، تایوان، کره جنوبی و سرزمین اصلی چین تمرکز داشته است. فعالیت‌های آن برای اولین بار به طور رسمی در ژانویه ۲۰۲۵ در جریان تحقیقات مربوط به یک نفوذ زنجیره تأمین مربوط به ارائه دهنده VPN کره جنوبی، IPany، گزارش شد. این حادثه نشان داد که چگونه مهاجمان ایمپلنت چند منظوره SlowStepper را علیه یک شرکت نیمه‌هادی و یک شرکت توسعه نرم‌افزار ناشناس مستقر کردند.

قربانیان دیگری که در تحقیقات بعدی شناسایی شدند شامل یک دانشگاه در پکن، یک تولیدکننده لوازم الکترونیکی در تایوان، یک شرکت خودروسازی و یک شعبه منطقه‌ای از یک شرکت تولیدی ژاپنی بودند. تحلیلگران همچنین فعالیت بیشتری را در کامبوج در سال ۲۰۲۵ ثبت کردند، جایی که دو سازمان دیگر، یکی در بخش خودروسازی و دیگری مرتبط با یک تولیدکننده ژاپنی، با SlowStipper هدف قرار گرفتند.

مسمومیت با AitM: استراتژی ورود اولیه PlushDaemon

این گروه به شدت به مسمومیت با AitM به عنوان تکنیک نفوذ اولیه خود متکی است، روندی که به طور فزاینده‌ای در بین سایر خوشه‌های APT وابسته به چین مانند LuoYu، Evasive Panda، BlackTech، TheWizards APT، Blackwood و FontGoblin نیز به اشتراک گذاشته می‌شود. PlushDaemon زنجیره حمله خود را با به خطر انداختن یک دستگاه شبکه لبه‌ای که قربانی احتمالاً از طریق آن متصل می‌شود، آغاز می‌کند. این نفوذ معمولاً ناشی از آسیب‌پذیری‌های وصله نشده یا احراز هویت ضعیف است.

پس از اینکه دستگاه تحت کنترل قرار گرفت، EdgeStepper برای دستکاری ترافیک DNS نصب می‌شود. گره DNS مخرب درخواست‌های ورودی را ارزیابی می‌کند و هنگام شناسایی دامنه‌های مرتبط با به‌روزرسانی‌های نرم‌افزاری، با آدرس IP گره ربایش‌کننده پاسخ می‌دهد. این تنظیمات امکان ارسال مخرب پی‌لودها را بدون ایجاد سوءظن فوری فراهم می‌کند.

کانال‌های به‌روزرسانی ربوده‌شده و زنجیره استقرار

کمپین PlushDaemon به‌طور خاص مکانیسم‌های به‌روزرسانی مورد استفاده توسط چندین برنامه چینی، از جمله Sogou Pinyin، را برای تغییر مسیر ترافیک به‌روزرسانی قانونی بررسی می‌کند. از طریق این دستکاری، مهاجمان یک DLL مخرب به نام LittleDaemon (popup_4.2.0.2246.dll) توزیع می‌کنند که به‌عنوان یک ایمپلنت مرحله اول عمل می‌کند. اگر سیستم از قبل میزبان درب پشتی SlowStepper نباشد، LittleDaemon با گره مهاجم تماس می‌گیرد و یک دانلودکننده به نام DaemonicLogistics را بازیابی می‌کند.

نقش DaemonicLogistics سرراست است: دانلود و اجرای SlowStepper. پس از فعال شدن، SlowStepper طیف گسترده‌ای از قابلیت‌ها را ارائه می‌دهد که شامل جمع‌آوری جزئیات سیستم، دریافت فایل‌ها، استخراج اعتبارنامه‌های مرورگر، دریافت داده‌ها از چندین برنامه پیام‌رسان و در صورت لزوم حذف خود می‌شود.

قابلیت‌های گسترش‌یافته از طریق ایمپلنت‌های هماهنگ

عملکرد ترکیبی EdgeStepper، LittleDaemon، DaemonicLogistics و SlowStepper، PlushDaemon را به مجموعه‌ای جامع از ابزارها مجهز می‌کند که قادر به نفوذ به سازمان‌های سراسر جهان است. استفاده هماهنگ از آنها به این گروه دسترسی مداوم، توانایی سرقت داده‌ها و زیرساختی انعطاف‌پذیر برای عملیات بلندمدت بین منطقه‌ای می‌دهد.

مشاهدات کلیدی

عملیات PlushDaemon چندین موضوع ثابت را آشکار می‌کند. این گروه به شدت به مسمومیت دشمن در میانه به عنوان روش ترجیحی خود برای به دست آوردن جای پای اولیه متکی است و از آن برای رهگیری و هدایت ترافیک در لبه شبکه استفاده می‌کند. هنگامی که یک هدف به خطر می‌افتد، عامل تهدید به SlowStepper به عنوان ایمپلنت اصلی پس از نفوذ خود وابسته است و از ویژگی‌های گسترده جمع‌آوری داده‌ها و شناسایی سیستم آن بهره می‌برد. اثربخشی این گردش کار با توانایی EdgeStepper در دستکاری پاسخ‌های DNS تقویت می‌شود، که به مهاجمان اجازه می‌دهد تا بی سر و صدا ترافیک به‌روزرسانی نرم‌افزار قانونی را به سمت زیرساخت خود منحرف کنند.