EdgeStepper Backdoor
Një aktor kërcënimi i lidhur me Kinën, i njohur si PlushDaemon, është lidhur me një derë të fshehtë rrjeti të sapozbuluar me bazë në Go të quajtur EdgeStepper, një mjet i projektuar për të mbështetur operacionet e kundërshtarëve në mes (AitM). Duke manipuluar trafikun e rrjetit në nivelin DNS, ky grup ka zgjeruar aftësinë e tij për të kapur dhe ridrejtuar rrjedhat e të dhënave për fushata ndërhyrjeje të synuara në rajone të shumta.
Tabela e Përmbajtjes
EdgeStepper: Ridrejtimi i trafikut në infrastrukturën keqdashëse
EdgeStepper vepron si një mekanizëm rrëmbimi në nivel rrjeti. Pasi të vendoset, ai ridrejton çdo kërkesë DNS në një nyje të jashtme keqdashëse. Ky manipulim devijon trafikun e destinuar për infrastrukturën legjitime të përditësimit të softuerit dhe në vend të kësaj e përcjell atë në sistemet nën kontrollin e sulmuesit.
Brenda, mjeti funksionon nëpërmjet dy moduleve kryesore. Shpërndarësi zgjidh adresën e nyjes DNS keqdashëse (p.sh., test.dsc.wcsset.com), ndërsa Ruler konfiguron rregullat e filtrimit të paketave nëpërmjet iptables për të zbatuar ridrejtimin. Në disa raste, nyja DNS dhe nyja rrëmbyese janë një dhe e njëjta, duke bërë që shërbimi DNS të kthejë adresën e vet IP gjatë procesit të mashtrimit.
Operacione Afatgjata dhe Targetim Global
PlushDaemon, aktiv të paktën që nga viti 2018, është përqendruar në organizata në të gjithë SHBA-në, Zelandën e Re, Kamboxhian, Hong Kongun, Tajvanin, Korenë e Jugut dhe Kinën kontinentale. Aktivitetet e tij u raportuan zyrtarisht për herë të parë në janar 2025 gjatë një hetimi mbi një kompromentim të zinxhirit të furnizimit që përfshinte ofruesin e VPN-së të Koresë së Jugut, IPany. Ky incident zbuloi se si sulmuesit përdorën implantin shumëfunksional SlowStepper kundër një firme gjysmëpërçuese dhe një kompanie të paidentifikuar zhvillimi softuerësh.
Viktima të tjera të identifikuara në hulumtimet e mëvonshme përfshijnë një universitet në Pekin, një prodhues elektronik në Tajvan, një kompani automobilistike dhe një degë rajonale të një ndërmarrjeje prodhuese japoneze. Analistët regjistruan gjithashtu aktivitet të mëtejshëm në Kamboxhia në vitin 2025, ku dy organizata të tjera, një në sektorin e automobilave dhe një tjetër e lidhur me një prodhues japonez, u shënjestruan me SlowStepper.
Helmimi i AitM: Strategjia kryesore e hyrjes së PlushDaemon
Grupi mbështetet shumë në helmimin AitM si teknikën e tij fillestare të ndërhyrjes, një trend që ndahet gjithnjë e më shumë midis grupeve të tjera APT të lidhura me Kinën, të tilla si LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood dhe FontGoblin. PlushDaemon fillon zinxhirin e tij të sulmit duke kompromentuar një pajisje rrjeti skajor me të cilën viktima ka të ngjarë të lidhet. Kompromentimi zakonisht rrjedh nga dobësitë e paantifiluara ose autentifikimi i dobët.
Pasi pajisja vihet nën kontroll, instalohet EdgeStepper për të manipuluar trafikun DNS. Nyja DNS keqdashëse vlerëson kërkesat hyrëse dhe, kur zbulon domene të lidhura me përditësimet e softuerit, përgjigjet me adresën IP të nyjes rrëmbyese. Ky konfigurim mundëson shpërndarjen keqdashëse të ngarkesave pa ngritur menjëherë dyshime.
Kanalet e përditësimit të rrëmbyera dhe zinxhiri i vendosjes
Fushata e PlushDaemon inspekton në mënyrë specifike mekanizmat e përditësimit të përdorur nga disa aplikacione kineze, përfshirë Sogou Pinyin, për të ridrejtuar trafikun legjitim të përditësimeve. Përmes këtij manipulimi, sulmuesit shpërndajnë një DLL keqdashëse të quajtur LittleDaemon (popup_4.2.0.2246.dll), i cili shërben si një implant i fazës së parë. Nëse sistemi nuk e pret tashmë derën e pasme SlowStepper, LittleDaemon kontakton nyjen e sulmuesit dhe merr një shkarkues të quajtur DaemonicLogistics.
Roli i DaemonicLogistics është i thjeshtë: shkarkoni dhe ekzekutoni SlowStepper. Pasi të aktivizohet, SlowStepper ofron një gamë të gjerë aftësish që përfshijnë mbledhjen e detajeve të sistemit, marrjen e skedarëve, nxjerrjen e kredencialeve të shfletuesit, tërheqjen e të dhënave nga aplikacione të shumta mesazhesh dhe heqjen e vetvetes nëse është e nevojshme.
Aftësi të zgjeruara përmes implanteve të koordinuara
Funksionaliteti i kombinuar i EdgeStepper, LittleDaemon, DaemonicLogistics dhe SlowStepper e pajis PlushDaemon me një set mjetesh gjithëpërfshirës të aftë të kompromentojë organizatat në të gjithë botën. Përdorimi i tyre i koordinuar i jep grupit akses të vazhdueshëm, aftësi për vjedhje të dhënash dhe një infrastrukturë fleksibile për operacione afatgjata ndër-rajonale.
Vëzhgime kryesore
Operacionet e PlushDaemon zbulojnë disa tema të qëndrueshme. Grupi mbështetet shumë në helmimin e kundërshtarëve në mes si metodën e tij të preferuar për të fituar një pikëmbështetje fillestare, duke e përdorur atë për të kapur dhe ridrejtuar trafikun në skajin e rrjetit. Pasi një objektiv kompromentohet, aktori kërcënues varet nga SlowStepper si implanti i tij kryesor pas ndërhyrjes, duke përfituar nga veçoritë e tij të gjera të mbledhjes së të dhënave dhe zbulimit të sistemit. Efektiviteti i këtij fluksi pune përforcohet nga aftësia e EdgeStepper për të manipuluar përgjigjet DNS, gjë që u lejon sulmuesve të devijojnë në heshtje trafikun legjitim të përditësimeve të softuerit drejt infrastrukturës së tyre.
