EdgeStepper 백도어
중국과 연계된 위협 행위자 PlushDaemon이 새로 발견된 Go 기반 네트워크 백도어인 EdgeStepper와 관련이 있는 것으로 밝혀졌습니다. EdgeStepper는 중간자 공격(AitM) 작전을 지원하도록 설계된 도구입니다. 이 그룹은 DNS 수준에서 네트워크 트래픽을 조작함으로써 여러 지역에 걸쳐 표적 침입 캠페인을 위한 데이터 흐름을 가로채고 리디렉션하는 능력을 확장했습니다.
목차
EdgeStepper: 악성 인프라로 트래픽 리디렉션
EdgeStepper는 네트워크 수준의 하이재킹 메커니즘으로 작동합니다. 배포되면 모든 DNS 요청을 외부 악성 노드로 재라우팅합니다. 이러한 조작은 합법적인 소프트웨어 업데이트 인프라로 향하는 트래픽을 우회시켜 공격자가 제어하는 시스템으로 전달합니다.
내부적으로 이 도구는 두 가지 주요 모듈을 통해 작동합니다. Distributor는 악성 DNS 노드의 주소(예: test.dsc.wcsset.com)를 확인하고, Ruler는 iptables를 통해 패킷 필터링 규칙을 구성하여 리디렉션을 시행합니다. 경우에 따라 DNS 노드와 하이재킹 노드가 동일하여 스푸핑 과정에서 DNS 서비스가 자체 IP 주소를 반환하는 경우가 있습니다.
장기 운영 및 글로벌 타겟팅
최소 2018년부터 활동해 온 PlushDaemon은 미국, 뉴질랜드, 캄보디아, 홍콩, 대만, 한국, 그리고 중국 본토의 조직들을 노려왔습니다. PlushDaemon의 활동은 2025년 1월, 한국 VPN 제공업체 IPany와 관련된 공급망 침해 사건 조사 과정에서 처음 공식적으로 보고되었습니다. 이 사건은 공격자들이 다기능 임플란트인 SlowStepper를 반도체 회사와 신원 미상의 소프트웨어 개발 회사 모두에 배포한 방식을 드러냈습니다.
이후 연구에서 확인된 추가 피해자로는 베이징의 한 대학교, 대만의 전자 제조업체, 자동차 회사, 그리고 일본 제조업체의 지역 지사가 있습니다. 분석가들은 2025년 캄보디아에서도 SlowStepper의 추가 활동이 감지되었는데, 자동차 부문과 일본 제조업체와 관련된 두 곳의 조직이 추가로 공격 대상이 되었습니다.
AitM 중독: PlushDaemon의 주요 진입 전략
이 그룹은 초기 침투 기법으로 AitM 포이즈닝을 크게 활용하는데, 이는 LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood, FontGoblin 등 중국계 APT 집단에서도 점차 공통적으로 나타나는 추세입니다. PlushDaemon은 피해자가 연결할 가능성이 높은 엣지 네트워크 장치를 감염시키는 방식으로 공격 체인을 시작합니다. 이러한 감염은 일반적으로 패치되지 않은 취약점이나 취약한 인증 방식에서 비롯됩니다.
장치가 제어되면 EdgeStepper가 설치되어 DNS 트래픽을 조작합니다. 악성 DNS 노드는 수신 요청을 평가하고, 소프트웨어 업데이트와 관련된 도메인을 감지하면 하이재킹 노드의 IP 주소로 응답합니다. 이러한 설정을 통해 즉각적인 의심 없이 페이로드를 악의적으로 전송할 수 있습니다.
납치된 업데이트 채널 및 배포 체인
PlushDaemon의 캠페인은 Sogou Pinyin을 포함한 여러 중국어 애플리케이션에서 합법적인 업데이트 트래픽을 리디렉션하는 데 사용되는 업데이트 메커니즘을 구체적으로 검사합니다. 이러한 조작을 통해 공격자는 LittleDaemon(popup_4.2.0.2246.dll)이라는 악성 DLL을 배포하는데, 이는 1단계 이식체 역할을 합니다. 시스템에 SlowStepper 백도어가 아직 설치되어 있지 않으면 LittleDaemon은 공격자 노드에 접속하여 DaemonicLogistics라는 다운로더를 가져옵니다.
DaemonicLogistics의 역할은 간단합니다. 바로 SlowStepper를 다운로드하고 실행하는 것입니다. SlowStepper가 활성화되면 시스템 세부 정보 수집, 파일 획득, 브라우저 자격 증명 추출, 여러 메시징 애플리케이션에서 데이터 가져오기, 그리고 필요한 경우 자체 제거 등 다양한 기능을 제공합니다.
조정된 임플란트를 통한 확장된 기능
EdgeStepper, LittleDaemon, DaemonicLogistics, SlowStepper의 결합된 기능을 통해 PlushDaemon은 전 세계 조직을 침해할 수 있는 포괄적인 툴셋을 갖추게 되었습니다. 이러한 툴셋을 함께 사용하면 그룹은 지속적인 접근 권한, 데이터 유출 방지 기능, 그리고 장기적인 지역 간 운영을 위한 유연한 인프라를 확보할 수 있습니다.
주요 관찰 사항
PlushDaemon의 활동은 몇 가지 일관된 주제를 드러냅니다. 이 그룹은 초기 발판을 마련하기 위한 주요 방법으로 중간자 적(ADM) 포이즈닝(poisoning)에 크게 의존하여 네트워크 에지에서 트래픽을 가로채고 리디렉션합니다. 일단 표적이 침해되면, 위협 행위자는 SlowStepper를 주요 침투 후 임플란트로 사용하여 광범위한 데이터 수집 및 시스템 정찰 기능을 활용합니다. 이러한 워크플로의 효과는 EdgeStepper가 DNS 응답을 조작할 수 있는 능력에 의해 더욱 강화되는데, 이를 통해 공격자는 합법적인 소프트웨어 업데이트 트래픽을 은밀하게 자신의 인프라로 우회시킬 수 있습니다.
