EdgeStepper-bakdør
En Kina-tilknyttet trusselaktør kjent som PlushDaemon har blitt koblet til en nylig avdekket Go-basert nettverksbakdør kalt EdgeStepper, et verktøy utviklet for å støtte AitM-operasjoner (adversary-in-the-middle). Ved å manipulere nettverkstrafikk på DNS-nivå har denne gruppen utvidet sin evne til å fange opp og omdirigere datastrømmer for målrettede inntrengingskampanjer på tvers av flere regioner.
Innholdsfortegnelse
EdgeStepper: Omdiriger trafikk til skadelig infrastruktur
EdgeStepper fungerer som en kapringsmekanisme på nettverksnivå. Når den er distribuert, omdirigerer den alle DNS-forespørsler til en ekstern, ondsinnet node. Denne manipulasjonen omdirigerer trafikk som er ment for legitim programvareoppdateringsinfrastruktur og videresender den i stedet til systemer under angriperens kontroll.
Internt opererer verktøyet gjennom to hovedmoduler. Distributøren løser opp adressen til den ondsinnede DNS-noden (f.eks. test.dsc.wcsset.com), mens Ruler konfigurerer pakkefiltreringsregler via iptables for å håndheve omdirigeringen. I noen tilfeller er DNS-noden og hijacking-noden den samme, noe som fører til at DNS-tjenesten returnerer sin egen IP-adresse under forfalskningsprosessen.
Langvarig drift og global målretting
PlushDaemon har vært aktiv siden minst 2018 og har fokusert på organisasjoner i USA, New Zealand, Kambodsja, Hongkong, Taiwan, Sør-Korea og Fastlands-Kina. Aktivitetene ble først formelt rapportert i januar 2025 under en etterforskning av et kompromittert forsyningskjedeselskap som involverte den sørkoreanske VPN-leverandøren IPany. Hendelsen avslørte hvordan angriperne distribuerte det multifunksjonelle implantatet SlowStepper mot både et halvlederfirma og et uidentifisert programvareutviklingsselskap.
Ytterligere ofre identifisert i senere forskning inkluderer et universitet i Beijing, en elektronikkprodusent i Taiwan, et bilselskap og en regional avdeling av en japansk produksjonsbedrift. Analytikere registrerte også ytterligere aktivitet i Kambodsja i 2025, hvor to organisasjoner til, en i bilsektoren og en annen knyttet til en japansk produsent, ble målrettet med SlowStepper.
AitM-forgiftning: PlushDaemons primære inngangsstrategi
Gruppen er sterkt avhengig av AitM-forgiftning som sin første inntrengingsteknikk, en trend som i økende grad deles blant andre Kina-tilknyttede APT-klynger som LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood og FontGoblin. PlushDaemon starter angrepskjeden sin ved å kompromittere en kantnettverksenhet som offeret sannsynligvis vil koble seg til gjennom. Kompromitteringen stammer vanligvis fra uoppdaterte sårbarheter eller svak autentisering.
Når enheten er under kontroll, installeres EdgeStepper for å manipulere DNS-trafikk. Den ondsinnede DNS-noden evaluerer innkommende forespørsler, og når den oppdager domener knyttet til programvareoppdateringer, svarer den med kapringsnodens IP-adresse. Dette oppsettet muliggjør ondsinnet levering av nyttelaster uten umiddelbart å vekke mistanke.
Kaprede oppdateringskanaler og distribusjonskjeden
PlushDaemons kampanje inspiserer spesifikt oppdateringsmekanismer som brukes av flere kinesiske applikasjoner, inkludert Sogou Pinyin, for å omdirigere legitim oppdateringstrafikk. Gjennom denne manipulasjonen distribuerer angriperne en ondsinnet DLL kalt LittleDaemon (popup_4.2.0.2246.dll), som fungerer som et førstetrinnsimplantat. Hvis systemet ikke allerede er vert for SlowStepper-bakdøren, kontakter LittleDaemon angripernoden og henter et nedlastingsprogram kalt DaemonicLogistics.
DaemonicLogistics' rolle er enkel: last ned og kjør SlowStepper. Når den er aktiv, leverer SlowStepper et bredt spekter av funksjoner som inkluderer innsamling av systemdetaljer, henting av filer, uttrekking av nettleserlegitimasjon, henting av data fra flere meldingsapplikasjoner og fjerning av seg selv om nødvendig.
Utvidede muligheter gjennom koordinerte implantater
Den kombinerte funksjonaliteten til EdgeStepper, LittleDaemon, DaemonicLogistics og SlowStepper gir PlushDaemon et omfattende verktøysett som er i stand til å kompromittere organisasjoner over hele verden. Den koordinerte bruken gir gruppen vedvarende tilgang, datatyverimuligheter og en fleksibel infrastruktur for langsiktig drift på tvers av regioner.
Viktige observasjoner
PlushDaemons operasjoner avslører flere gjennomgående temaer. Gruppen er sterkt avhengig av «adversary-in-the-middle»-forgiftning som sin foretrukne metode for å få et fotfeste i utgangspunktet, og bruker den til å avskjære og omdirigere trafikk i nettverkskanten. Når et mål er kompromittert, er trusselaktøren avhengig av SlowStepper som sitt viktigste implantat etter inntrenging, og drar nytte av de omfattende funksjonene for datainnsamling og systemrekognosering. Effektiviteten til denne arbeidsflyten forsterkes av EdgeSteppers evne til å manipulere DNS-svar, noe som lar angriperne stille omdirigere legitim programvareoppdateringstrafikk mot sin egen infrastruktur.
