Zadné vrátka EdgeStepper
Čínska skupina, známa ako PlushDaemon, bola prepojená s novoodhaleným sieťovým zadným vrátkom založeným na platforme Go s názvom EdgeStepper, čo je nástroj navrhnutý na podporu operácií typu „protistrana v strede“ (AitM). Manipuláciou sieťovej prevádzky na úrovni DNS táto skupina rozšírila svoju schopnosť zachytávať a presmerovávať toky údajov pre cielené intruzívne kampane vo viacerých regiónoch.
Obsah
EdgeStepper: Presmerovanie prevádzky na škodlivú infraštruktúru
EdgeStepper funguje ako mechanizmus na ochranu pred útokmi na úrovni siete. Po nasadení presmeruje každú požiadavku DNS na externý škodlivý uzol. Táto manipulácia presmeruje prevádzku určenú pre legitímnu infraštruktúru aktualizácií softvéru a namiesto toho ju preposiela do systémov pod kontrolou útočníka.
Nástroj interne funguje prostredníctvom dvoch primárnych modulov. Distribútor rozpoznáva adresu škodlivého uzla DNS (napr. test.dsc.wcsset.com), zatiaľ čo Pravidlo konfiguruje pravidlá filtrovania paketov prostredníctvom iptables na vynútenie presmerovania. V niektorých prípadoch sú uzol DNS a uzol prenášajúci útok jeden a ten istý uzol, čo spôsobuje, že služba DNS počas procesu falšovania vráti svoju vlastnú IP adresu.
Dlhodobé operácie a globálne cielenie
PlushDaemon, ktorý je aktívny minimálne od roku 2018, sa zameriava na organizácie v USA, na Novom Zélande, v Kambodži, Hongkongu, na Taiwane, v Južnej Kórei a pevninskej Číne. Jeho aktivity boli prvýkrát oficiálne oznámené v januári 2025 počas vyšetrovania kompromitácie dodávateľského reťazca, do ktorej bol zapojený juhokórejský poskytovateľ VPN IPany. Tento incident odhalil, ako útočníci nasadili multifunkčný implantát SlowStepper proti polovodičovej firme aj neidentifikovanej softvérovej spoločnosti.
Medzi ďalšie obete identifikované v neskoršom výskume patrí univerzita v Pekingu, výrobca elektroniky na Taiwane, automobilová spoločnosť a regionálna pobočka japonského výrobného podniku. Analytici zaznamenali v roku 2025 ďalšiu aktivitu v Kambodži, kde sa útok SlowStepper stal terčom ďalších dvoch organizácií, jednej v automobilovom sektore a druhej prepojenej s japonským výrobcom.
Otrava AitM: Hlavná stratégia vstupu do PlushDaemona
Skupina sa vo veľkej miere spolieha na otravu AitM ako svoju počiatočnú techniku narušenia, čo je trend, ktorý čoraz viac zdieľajú aj ďalšie APT klastre pridružené k Číne, ako napríklad LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood a FontGoblin. PlushDaemon iniciuje svoj útočný reťazec napadnutím zariadenia na okraji siete, cez ktoré sa obeť pravdepodobne pripojí. Narušenie zvyčajne pramení z neopravených zraniteľností alebo slabého overovania.
Keď je zariadenie pod kontrolou, nainštaluje sa EdgeStepper, ktorý manipuluje s prevádzkou DNS. Škodlivý uzol DNS vyhodnocuje prichádzajúce požiadavky a pri detekcii domén viazaných na aktualizácie softvéru odpovedá s IP adresou uzla, ktorý sa stal obeťou útoku. Toto nastavenie umožňuje škodlivé doručovanie údajov bez okamžitého vzbudenia podozrenia.
Ukradené aktualizačné kanály a reťazec nasadenia
Kampaň PlushDaemon konkrétne kontroluje mechanizmy aktualizácií používané niekoľkými čínskymi aplikáciami vrátane Sogou Pinyin na presmerovanie legitímnej aktualizačnej prevádzky. Prostredníctvom tejto manipulácie útočníci šíria škodlivú knižnicu DLL s názvom LittleDaemon (popup_4.2.0.2246.dll), ktorá slúži ako implantát prvej fázy. Ak systém ešte nehosťuje zadné vrátka SlowStepper, LittleDaemon kontaktuje uzol útočníka a získa sťahovací program s názvom DaemonicLogistics.
Úloha spoločnosti DaemonicLogistics je jednoduchá: stiahnuť a spustiť SlowStepper. Po aktivácii ponúka SlowStepper širokú škálu funkcií, ktoré zahŕňajú zhromažďovanie systémových údajov, získavanie súborov, extrahovanie prihlasovacích údajov prehliadača, sťahovanie údajov z viacerých aplikácií na odosielanie správ a v prípade potreby aj vlastné odstránenie.
Rozšírené možnosti prostredníctvom koordinovaných implantátov
Kombinovaná funkcionalita nástrojov EdgeStepper, LittleDaemon, DaemonicLogistics a SlowStepper poskytuje PlushDaemon komplexnú sadu nástrojov schopných kompromitovať organizácie na celom svete. Ich koordinované používanie poskytuje skupine trvalý prístup, možnosti ochrany pred krádežou údajov a flexibilnú infraštruktúru pre dlhodobé operácie naprieč regiónmi.
Kľúčové pozorovania
Operácie PlushDaemon odhaľujú niekoľko konzistentných tém. Skupina sa vo veľkej miere spolieha na metódu „otravovania stredom“ ako na svoju preferovanú metódu na získanie počiatočného postavenia, ktorú používa na zachytávanie a presmerovanie prevádzky na okraji siete. Keď je cieľ napadnutý, útočník sa spolieha na SlowStepper ako svoj hlavný implantát po narušení, pričom využíva jeho rozsiahle funkcie zhromažďovania údajov a systémového prieskumu. Účinnosť tohto pracovného postupu je posilnená schopnosťou EdgeStepperu manipulovať s odpoveďami DNS, čo útočníkom umožňuje nenápadne presmerovať legitímnu prevádzku aktualizácií softvéru do ich vlastnej infraštruktúry.
