EdgeStepper Achterdeur
Een op China gerichte dreigingsactor, bekend als PlushDaemon, is in verband gebracht met een onlangs ontdekte Go-gebaseerde netwerkbackdoor genaamd EdgeStepper, een tool die is ontworpen ter ondersteuning van vijandelijke in-the-middle (AitM)-operaties. Door netwerkverkeer op DNS-niveau te manipuleren, heeft deze groep haar mogelijkheden uitgebreid om datastromen te onderscheppen en om te leiden voor gerichte inbraakcampagnes in meerdere regio's.
Inhoudsopgave
EdgeStepper: verkeer omleiden naar schadelijke infrastructuur
EdgeStepper fungeert als een kapingsmechanisme op netwerkniveau. Eenmaal geïmplementeerd, leidt het elk DNS-verzoek om naar een extern, kwaadaardig knooppunt. Deze manipulatie leidt verkeer dat bedoeld is voor legitieme software-update-infrastructuur om en stuurt het in plaats daarvan door naar systemen die onder controle van de aanvaller staan.
Intern werkt de tool via twee primaire modules. De Distributor verwerkt het adres van het kwaadaardige DNS-knooppunt (bijv. test.dsc.wcsset.com), terwijl de Ruler pakketfilterregels via iptables configureert om de omleiding af te dwingen. In sommige gevallen zijn het DNS-knooppunt en het kapende knooppunt één en hetzelfde, waardoor de DNS-service tijdens het spoofingproces zijn eigen IP-adres retourneert.
Langlopende operaties en wereldwijde targeting
PlushDaemon is sinds minstens 2018 actief en richt zich op organisaties in de VS, Nieuw-Zeeland, Cambodja, Hongkong, Taiwan, Zuid-Korea en China. De activiteiten werden voor het eerst formeel gemeld in januari 2025 tijdens een onderzoek naar een inbreuk op de toeleveringsketen waarbij de Zuid-Koreaanse VPN-provider IPany betrokken was. Dat incident onthulde hoe de aanvallers het multifunctionele implantaat SlowStepper inzetten tegen zowel een halfgeleiderfabrikant als een niet nader genoemde softwareontwikkelaar.
Later onderzoek identificeerde ook andere slachtoffers, waaronder een universiteit in Peking, een elektronicafabrikant in Taiwan, een autobedrijf en een regionale vestiging van een Japanse productieonderneming. Analisten registreerden ook verdere activiteit in Cambodja in 2025, waar SlowStepper nog eens twee organisaties, één in de autosector en één verbonden aan een Japanse fabrikant, aanviel.
AitM-vergiftiging: de primaire instapstrategie van PlushDaemon
De groep maakt zwaar gebruik van AitM-poisoning als initiële inbraaktechniek, een trend die steeds vaker voorkomt bij andere aan China gelieerde APT-clusters zoals LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood en FontGoblin. PlushDaemon initieert zijn aanvalsketen door een edge-netwerkapparaat te compromitteren waarmee het slachtoffer waarschijnlijk verbinding maakt. De compromittering is meestal het gevolg van ongepatchte kwetsbaarheden of zwakke authenticatie.
Zodra het apparaat onder controle is, wordt EdgeStepper geïnstalleerd om DNS-verkeer te manipuleren. Het kwaadaardige DNS-knooppunt evalueert inkomende verzoeken en reageert, wanneer domeinen worden gedetecteerd die gekoppeld zijn aan software-updates, met het IP-adres van het kapende knooppunt. Deze configuratie maakt het mogelijk om kwaadaardige payloads te leveren zonder direct argwaan te wekken.
Gekaapte updatekanalen en de implementatieketen
De campagne van PlushDaemon inspecteert specifiek updatemechanismen die door verschillende Chinese applicaties, waaronder Sogou Pinyin, worden gebruikt om legitiem updateverkeer om te leiden. Via deze manipulatie verspreiden de aanvallers een schadelijke DLL met de naam LittleDaemon (popup_4.2.0.2246.dll), die dient als een eerste stap in de implementatie. Als het systeem de SlowStepper-backdoor nog niet host, neemt LittleDaemon contact op met de aanvallende node en haalt een downloader genaamd DaemonicLogistics op.
De rol van DaemonicLogistics is eenvoudig: SlowStepper downloaden en uitvoeren. Eenmaal actief biedt SlowStepper een breed scala aan mogelijkheden, waaronder het verzamelen van systeemgegevens, het verkrijgen van bestanden, het extraheren van browserreferenties, het ophalen van gegevens uit meerdere berichtenapplicaties en het zichzelf indien nodig verwijderen.
Uitgebreide mogelijkheden door gecoördineerde implantaten
De gecombineerde functionaliteit van EdgeStepper, LittleDaemon, DaemonicLogistics en SlowStepper voorziet PlushDaemon van een uitgebreide toolset waarmee organisaties wereldwijd gecompromitteerd kunnen worden. Hun gecoördineerde inzet biedt de groep permanente toegang, mogelijkheden voor datadiefstal en een flexibele infrastructuur voor langdurige, regio-overschrijdende operaties.
Belangrijkste observaties
De activiteiten van PlushDaemon vertonen verschillende consistente thema's. De groep vertrouwt sterk op 'adder-in-the-middle poisoning' als voorkeursmethode om voet aan de grond te krijgen en gebruikt dit om verkeer aan de rand van het netwerk te onderscheppen en om te leiden. Zodra een doelwit is gecompromitteerd, vertrouwt de aanvaller op SlowStepper als belangrijkste implantaat na de inbraak, waarbij hij gebruikmaakt van de uitgebreide functies voor gegevensverzameling en systeemverkenning. De effectiviteit van deze workflow wordt versterkt door EdgeStepper's vermogen om DNS-reacties te manipuleren, waardoor aanvallers ongemerkt legitiem software-updateverkeer naar hun eigen infrastructuur kunnen omleiden.
