EdgeStepper ब्याकडोर

प्लशडेमन भनेर चिनिने चीन-पङ्क्तिबद्ध खतरा अभिनेतालाई एजस्टेपर नामक भर्खरै पत्ता लागेको गो-आधारित नेटवर्क ब्याकडोरसँग जोडिएको छ, जुन एड्भर्सी-इन-द-मिडल (AitM) अपरेशनहरूलाई समर्थन गर्न इन्जिनियर गरिएको उपकरण हो। DNS स्तरमा नेटवर्क ट्राफिकलाई हेरफेर गरेर, यो समूहले धेरै क्षेत्रहरूमा लक्षित घुसपैठ अभियानहरूको लागि डेटा प्रवाहलाई अवरोध र पुनर्निर्देशित गर्ने क्षमता विस्तार गरेको छ।

एजस्टेपर: ट्राफिकलाई दुर्भावनापूर्ण पूर्वाधारमा पुनर्निर्देशित गर्दै

एजस्टेपरले नेटवर्क-स्तरको अपहरण संयन्त्रको रूपमा काम गर्छ। एक पटक तैनाथ गरिसकेपछि, यसले प्रत्येक DNS अनुरोधलाई बाह्य मालिसियस नोडमा पुन: मार्ग दिन्छ। यो हेरफेरले वैध सफ्टवेयर-अपडेट पूर्वाधारको लागि लक्षित ट्राफिकलाई डाइभर्ट गर्छ र यसको सट्टा आक्रमणकारीको नियन्त्रणमा रहेका प्रणालीहरूमा फर्वार्ड गर्छ।

आन्तरिक रूपमा, उपकरण दुई प्राथमिक मोड्युलहरू मार्फत सञ्चालन हुन्छ। वितरकले दुर्भावनापूर्ण DNS नोडको ठेगाना (जस्तै, test.dsc.wcsset.com) समाधान गर्दछ, जबकि रूलरले पुनर्निर्देशन लागू गर्न iptables मार्फत प्याकेट-फिल्टरिङ नियमहरू कन्फिगर गर्दछ। केही अवस्थामा, DNS नोड र अपहरण नोड एक र उस्तै हुन्छन्, जसले गर्दा DNS सेवाले स्पूफिंग प्रक्रियाको क्रममा आफ्नै IP ठेगाना फिर्ता गर्छ।

लामो समयदेखि सञ्चालन र विश्वव्यापी लक्ष्यीकरण

कम्तिमा २०१८ देखि सक्रिय, PlushDaemon ले अमेरिका, न्यूजील्याण्ड, कम्बोडिया, हङकङ, ताइवान, दक्षिण कोरिया र मुख्य भूमि चीनभरिका संस्थाहरूमा ध्यान केन्द्रित गरेको छ। यसको गतिविधिहरू पहिलो पटक जनवरी २०२५ मा दक्षिण कोरियाली VPN प्रदायक IPany सँग सम्बन्धित आपूर्ति श्रृंखला सम्झौताको अनुसन्धानको क्रममा औपचारिक रूपमा रिपोर्ट गरिएको थियो। त्यो घटनाले आक्रमणकारीहरूले कसरी एक अर्धचालक फर्म र एक अज्ञात सफ्टवेयर विकास कम्पनी दुवै विरुद्ध बहु-कार्यात्मक इम्प्लान्ट SlowStepper तैनाथ गरे भन्ने कुरा प्रकट गर्‍यो।

पछिल्ला अनुसन्धानमा पहिचान गरिएका थप पीडितहरूमा बेइजिङको एक विश्वविद्यालय, ताइवानको एक इलेक्ट्रोनिक्स निर्माता, एक अटोमोटिभ कम्पनी, र जापानी उत्पादन उद्यमको क्षेत्रीय शाखा समावेश छन्। विश्लेषकहरूले २०२५ मा कम्बोडियामा थप गतिविधि पनि रेकर्ड गरे, जहाँ दुई थप संस्थाहरू, एउटा अटोमोटिभ क्षेत्रमा र अर्को जापानी निर्मातासँग सम्बन्धित, स्लोस्टेपरले लक्षित गरिएको थियो।

AitM विषाक्तता: PlushDaemon को प्राथमिक प्रवेश रणनीति

यो समूहले आफ्नो प्रारम्भिक घुसपैठ प्रविधिको रूपमा AitM विषाक्ततामा धेरै निर्भर गर्दछ, जुन प्रवृत्ति अन्य चीन-सम्बद्ध APT क्लस्टरहरू जस्तै LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood, र FontGoblin बीच बढ्दो रूपमा साझा गरिएको छ। PlushDaemon ले पीडितले जडान गर्ने सम्भावना भएको किनारा नेटवर्क उपकरणसँग सम्झौता गरेर आफ्नो आक्रमण श्रृंखला सुरु गर्दछ। सम्झौता सामान्यतया अनप्याच गरिएको कमजोरीहरू वा कमजोर प्रमाणीकरणबाट उत्पन्न हुन्छ।

एक पटक उपकरण नियन्त्रणमा भएपछि, DNS ट्राफिकलाई हेरफेर गर्न EdgeStepper स्थापना गरिन्छ। दुर्भावनापूर्ण DNS नोडले आगमन अनुरोधहरूको मूल्याङ्कन गर्छ र, सफ्टवेयर अपडेटहरूसँग जोडिएका डोमेनहरू पत्ता लगाउँदा, अपहरणकर्ता नोडको IP ठेगानाको साथ प्रतिक्रिया दिन्छ। यो सेटअपले तुरुन्तै शंका नउठाई पेलोडहरूको दुर्भावनापूर्ण डेलिभरी सक्षम बनाउँछ।

अपहरण गरिएका अपडेट च्यानलहरू र तैनाती श्रृंखला

PlushDaemon को अभियानले विशेष गरी Sogou Pinyin सहित धेरै चिनियाँ अनुप्रयोगहरू द्वारा प्रयोग गरिएको अद्यावधिक संयन्त्रहरूको निरीक्षण गर्दछ, जसले वैध अपडेट ट्राफिकलाई रिडिरेक्ट गर्दछ। यस हेरफेर मार्फत, आक्रमणकारीहरूले LittleDaemon (popup_4.2.0.2246.dll) नामक दुर्भावनापूर्ण DLL वितरण गर्छन्, जुन पहिलो चरणको इम्प्लान्टको रूपमा काम गर्दछ। यदि प्रणालीले पहिले नै SlowStepper ब्याकडोर होस्ट गर्दैन भने, LittleDaemon ले आक्रमणकारी नोडलाई सम्पर्क गर्छ र DaemonicLogistics नामक डाउनलोडर पुन: प्राप्त गर्छ।

डेमोनिकलजिस्टिक्सको भूमिका सीधा छ: स्लोस्टेपर डाउनलोड र कार्यान्वयन गर्नुहोस्। एक पटक सक्रिय भएपछि, स्लोस्टेपरले क्षमताहरूको विस्तृत श्रृंखला प्रदान गर्दछ जसमा प्रणाली विवरणहरू सङ्कलन गर्ने, फाइलहरू प्राप्त गर्ने, ब्राउजर प्रमाणहरू निकाल्ने, धेरै सन्देश अनुप्रयोगहरूबाट डेटा तान्ने, र आवश्यक भएमा आफैलाई हटाउने समावेश छ।

समन्वित प्रत्यारोपण मार्फत विस्तारित क्षमताहरू

EdgeStepper, LittleDaemon, DaemonicLogistics, र SlowStepper को संयुक्त कार्यक्षमताले PlushDaemon लाई विश्वव्यापी संस्थाहरूलाई सम्झौता गर्न सक्षम व्यापक उपकरणसेटले सुसज्जित गर्दछ। तिनीहरूको समन्वित प्रयोगले समूहलाई निरन्तर पहुँच, डेटा-चोरी क्षमताहरू, र दीर्घकालीन क्रस-क्षेत्र सञ्चालनहरूको लागि लचिलो पूर्वाधार प्रदान गर्दछ।

प्रमुख अवलोकनहरू

PlushDaemon को सञ्चालनले धेरै सुसंगत विषयवस्तुहरू प्रकट गर्दछ। समूहले प्रारम्भिक खुट्टा राख्नको लागि आफ्नो मनपर्ने विधिको रूपमा मध्य-विषाक्ततामा धेरै निर्भर गर्दछ, यसलाई नेटवर्क किनारामा ट्राफिकलाई अवरोध र पुन: निर्देशित गर्न प्रयोग गर्दछ। एक पटक लक्ष्य सम्झौता भएपछि, खतरा अभिनेता स्लोस्टेपरमा यसको मुख्य पोस्ट-इन्ट्रुसन इम्प्लान्टको रूपमा निर्भर गर्दछ, यसको व्यापक डेटा-संकलन र प्रणाली-जासूसी सुविधाहरूको फाइदा उठाउँदै। यस कार्यप्रवाहको प्रभावकारितालाई EdgeStepper को DNS प्रतिक्रियाहरू हेरफेर गर्ने क्षमताले बलियो बनाउँछ, जसले आक्रमणकारीहरूलाई चुपचाप वैध सफ्टवेयर अपडेट ट्राफिकलाई आफ्नै पूर्वाधारतर्फ मोड्न अनुमति दिन्छ।