EdgeStepper बैकडोर

प्लशडेमन नामक एक चीन-संबद्ध ख़तरा पैदा करने वाले को हाल ही में खोजे गए गो-आधारित नेटवर्क बैकडोर, एजस्टेपर से जोड़ा गया है, जो एक ऐसा उपकरण है जिसे मध्य-विरोधी (AitM) अभियानों का समर्थन करने के लिए डिज़ाइन किया गया है। DNS स्तर पर नेटवर्क ट्रैफ़िक में हेरफेर करके, इस समूह ने कई क्षेत्रों में लक्षित घुसपैठ अभियानों के लिए डेटा प्रवाह को रोकने और पुनर्निर्देशित करने की अपनी क्षमता का विस्तार किया है।

एजस्टेपर: ट्रैफ़िक को दुर्भावनापूर्ण बुनियादी ढाँचे पर पुनर्निर्देशित करना

एजस्टेपर एक नेटवर्क-स्तरीय अपहरण तंत्र के रूप में कार्य करता है। एक बार तैनात होने के बाद, यह प्रत्येक DNS अनुरोध को एक बाहरी दुर्भावनापूर्ण नोड पर पुनर्निर्देशित करता है। यह हेरफेर वैध सॉफ़्टवेयर-अपडेट इन्फ्रास्ट्रक्चर के लिए लक्षित ट्रैफ़िक को डायवर्ट करके उसे हमलावर के नियंत्रण वाले सिस्टम पर अग्रेषित कर देता है।

आंतरिक रूप से, यह टूल दो प्राथमिक मॉड्यूल के माध्यम से संचालित होता है। वितरक दुर्भावनापूर्ण DNS नोड के पते (जैसे, test.dsc.wcsset.com) का समाधान करता है, जबकि रूलर पुनर्निर्देशन को लागू करने के लिए iptables के माध्यम से पैकेट-फ़िल्टरिंग नियमों को कॉन्फ़िगर करता है। कुछ मामलों में, DNS नोड और अपहरण नोड एक ही होते हैं, जिसके कारण स्पूफिंग प्रक्रिया के दौरान DNS सेवा अपना स्वयं का IP पता लौटाती है।

दीर्घकालिक संचालन और वैश्विक लक्ष्यीकरण

कम से कम 2018 से सक्रिय, प्लशडेमन ने अमेरिका, न्यूज़ीलैंड, कंबोडिया, हांगकांग, ताइवान, दक्षिण कोरिया और मुख्यभूमि चीन के संगठनों पर ध्यान केंद्रित किया है। इसकी गतिविधियों की पहली बार औपचारिक रूप से जनवरी 2025 में दक्षिण कोरियाई वीपीएन प्रदाता आईपेनी से जुड़ी आपूर्ति श्रृंखला में सेंधमारी की जाँच के दौरान रिपोर्ट की गई थी। उस घटना से पता चला कि कैसे हमलावरों ने एक सेमीकंडक्टर कंपनी और एक अज्ञात सॉफ़्टवेयर डेवलपमेंट कंपनी, दोनों के खिलाफ मल्टीफ़ंक्शनल इम्प्लांट स्लोस्टेपर का इस्तेमाल किया।

बाद के शोध में पहचाने गए अतिरिक्त पीड़ितों में बीजिंग का एक विश्वविद्यालय, ताइवान की एक इलेक्ट्रॉनिक्स निर्माता कंपनी, एक ऑटोमोटिव कंपनी और एक जापानी विनिर्माण उद्यम की एक क्षेत्रीय शाखा शामिल हैं। विश्लेषकों ने 2025 में कंबोडिया में भी और गतिविधियाँ दर्ज कीं, जहाँ दो और संगठन, एक ऑटोमोटिव क्षेत्र में और दूसरा एक जापानी निर्माता से जुड़ा, स्लोस्टेपर के निशाने पर थे।

AitM विषाक्तता: प्लशडेमन की प्राथमिक प्रवेश रणनीति

यह समूह अपनी प्रारंभिक घुसपैठ तकनीक के रूप में AitM पॉइज़निंग पर बहुत अधिक निर्भर करता है, और यह प्रवृत्ति चीन से संबद्ध अन्य APT समूहों, जैसे लुओयू, इवेसिव पांडा, ब्लैकटेक, दविज़ार्ड्स APT, ब्लैकवुड और फॉन्टगोब्लिन, में भी तेज़ी से फैल रही है। प्लशडेमन अपनी आक्रमण श्रृंखला की शुरुआत उस एज नेटवर्क डिवाइस को नुकसान पहुँचाकर करता है जिससे पीड़ित के कनेक्ट होने की संभावना होती है। यह नुकसान आमतौर पर पैच न किए गए कमजोरियों या कमज़ोर प्रमाणीकरण के कारण होता है।

डिवाइस के नियंत्रण में आने के बाद, DNS ट्रैफ़िक में हेरफेर करने के लिए EdgeStepper इंस्टॉल किया जाता है। दुर्भावनापूर्ण DNS नोड आने वाले अनुरोधों का मूल्यांकन करता है और सॉफ़्टवेयर अपडेट से जुड़े डोमेन का पता लगाने पर, अपहरणकर्ता नोड के IP पते के साथ प्रतिक्रिया करता है। यह सेटअप बिना किसी संदेह के पेलोड की दुर्भावनापूर्ण डिलीवरी को सक्षम बनाता है।

अपहृत अद्यतन चैनल और परिनियोजन श्रृंखला

प्लशडेमन का अभियान विशेष रूप से सोगौ पिनयिन सहित कई चीनी अनुप्रयोगों द्वारा उपयोग किए जाने वाले अपडेट तंत्रों की जाँच करता है ताकि वैध अपडेट ट्रैफ़िक को पुनर्निर्देशित किया जा सके। इस हेरफेर के माध्यम से, हमलावर लिटिलडेमन (popup_4.2.0.2246.dll) नामक एक दुर्भावनापूर्ण DLL वितरित करते हैं, जो पहले चरण के प्रत्यारोपण के रूप में कार्य करता है। यदि सिस्टम में पहले से ही स्लोस्टेपर बैकडोर होस्ट नहीं है, तो लिटिलडेमन हमलावर नोड से संपर्क करता है और डेमोनिकलॉजिस्टिक्स नामक एक डाउनलोडर प्राप्त करता है।

डेमोनिकलॉजिस्टिक्स की भूमिका सीधी है: स्लोस्टेपर को डाउनलोड और निष्पादित करें। एक बार सक्रिय होने पर, स्लोस्टेपर कई तरह की क्षमताएँ प्रदान करता है, जिनमें सिस्टम विवरण एकत्र करना, फ़ाइलें प्राप्त करना, ब्राउज़र क्रेडेंशियल निकालना, कई मैसेजिंग एप्लिकेशन से डेटा निकालना और ज़रूरत पड़ने पर खुद को हटाना शामिल है।

समन्वित प्रत्यारोपण के माध्यम से विस्तारित क्षमताएँ

एजस्टेपर, लिटिलडेमन, डेमोनिकलॉजिस्टिक्स और स्लोस्टेपर की संयुक्त कार्यक्षमता प्लशडेमन को एक व्यापक टूलसेट प्रदान करती है जो दुनिया भर के संगठनों को खतरे में डालने में सक्षम है। इनका समन्वित उपयोग समूह को निरंतर पहुँच, डेटा चोरी की क्षमताएँ और दीर्घकालिक अंतर-क्षेत्रीय संचालन के लिए एक लचीला बुनियादी ढाँचा प्रदान करता है।

मुख्य अवलोकन

प्लशडेमन के संचालन से कई सुसंगत विषय सामने आते हैं। यह समूह शुरुआती पैर जमाने के लिए अपने पसंदीदा तरीके के रूप में मध्य-विरोधी को निशाना बनाने पर बहुत अधिक निर्भर करता है, और इसका उपयोग नेटवर्क किनारे पर ट्रैफ़िक को रोकने और पुनर्निर्देशित करने के लिए करता है। एक बार जब कोई लक्ष्य खतरे में पड़ जाता है, तो खतरा पैदा करने वाला स्लोस्टेपर पर अपने मुख्य पोस्ट-इंट्रुजन इम्प्लांट के रूप में निर्भर करता है, और इसके व्यापक डेटा-संग्रह और सिस्टम-टोही सुविधाओं का लाभ उठाता है। इस वर्कफ़्लो की प्रभावशीलता एजस्टेपर की DNS प्रतिक्रियाओं में हेरफेर करने की क्षमता से और भी पुष्ट होती है, जो हमलावरों को वैध सॉफ़्टवेयर अपडेट ट्रैफ़िक को चुपचाप अपने बुनियादी ढाँचे की ओर मोड़ने की अनुमति देता है।