EdgeStepper แบ็คดอร์

PlushDaemon ซึ่งเป็นภัยคุกคามที่เชื่อมโยงกับจีน ได้ถูกเชื่อมโยงกับช่องโหว่เครือข่าย Go ที่เพิ่งถูกค้นพบใหม่ชื่อ EdgeStepper ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อรองรับปฏิบัติการ Adversary-in-the-middle (AitM) กลุ่มนี้ได้ขยายขีดความสามารถในการสกัดกั้นและเปลี่ยนเส้นทางการไหลของข้อมูลสำหรับแคมเปญการบุกรุกแบบกำหนดเป้าหมายในหลายภูมิภาค โดยการควบคุมทราฟฟิกเครือข่ายในระดับ DNS

EdgeStepper: การเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังโครงสร้างพื้นฐานที่เป็นอันตราย

EdgeStepper ทำหน้าที่เป็นกลไกการแฮ็กระดับเครือข่าย เมื่อนำไปใช้งานแล้ว ระบบจะเปลี่ยนเส้นทางคำขอ DNS ทั้งหมดไปยังโหนดอันตรายภายนอก การกระทำนี้จะเปลี่ยนเส้นทางการรับส่งข้อมูลที่มุ่งหมายสำหรับโครงสร้างพื้นฐานการอัปเดตซอฟต์แวร์ที่ถูกต้องตามกฎหมาย และส่งต่อไปยังระบบที่อยู่ภายใต้การควบคุมของผู้โจมตีแทน

ภายใน เครื่องมือนี้ทำงานผ่านโมดูลหลักสองโมดูล ดิสทริบิวเตอร์จะแก้ไขที่อยู่ของโหนด DNS ที่เป็นอันตราย (เช่น test.dsc.wcsset.com) ขณะที่รูเลอร์จะกำหนดค่ากฎการกรองแพ็กเก็ตผ่าน iptables เพื่อบังคับใช้การเปลี่ยนเส้นทาง ในบางกรณี โหนด DNS และโหนดไฮแจ็กกิ้งจะเป็นโหนดเดียวกัน ทำให้บริการ DNS ส่งกลับที่อยู่ IP ของตัวเองในระหว่างกระบวนการปลอมแปลง

การดำเนินงานระยะยาวและการกำหนดเป้าหมายทั่วโลก

PlushDaemon ดำเนินงานมาอย่างน้อยตั้งแต่ปี 2018 โดยมุ่งเน้นไปที่องค์กรต่างๆ ทั่วสหรัฐอเมริกา นิวซีแลนด์ กัมพูชา ฮ่องกง ไต้หวัน เกาหลีใต้ และจีนแผ่นดินใหญ่ กิจกรรมของบริษัทได้รับการรายงานอย่างเป็นทางการครั้งแรกในเดือนมกราคม 2025 ระหว่างการสอบสวนกรณีการบุกรุกห่วงโซ่อุปทานที่เกี่ยวข้องกับ IPany ผู้ให้บริการ VPN ของเกาหลีใต้ เหตุการณ์ดังกล่าวเผยให้เห็นว่าผู้โจมตีได้นำอุปกรณ์ฝังตัวอเนกประสงค์ SlowStepper ไปใช้งานกับทั้งบริษัทเซมิคอนดักเตอร์และบริษัทพัฒนาซอฟต์แวร์ที่ไม่เปิดเผยชื่อ

เหยื่อเพิ่มเติมที่ระบุในการวิจัยในภายหลัง ได้แก่ มหาวิทยาลัยแห่งหนึ่งในปักกิ่ง ผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์ในไต้หวัน บริษัทรถยนต์ และสาขาภูมิภาคของบริษัทผู้ผลิตสัญชาติญี่ปุ่น นักวิเคราะห์ยังบันทึกกิจกรรมเพิ่มเติมในกัมพูชาในปี 2568 โดยมีองค์กรอีกสองแห่ง หนึ่งแห่งอยู่ในภาคยานยนต์และอีกแห่งเกี่ยวข้องกับผู้ผลิตสัญชาติญี่ปุ่น ตกเป็นเป้าหมายของ SlowStepper

การวางยาพิษ AitM: กลยุทธ์การเข้าหลักของ PlushDaemon

กลุ่มนี้ใช้ AitM เป็นเทคนิคการโจมตีเบื้องต้น ซึ่งเป็นแนวโน้มที่พบเห็นได้บ่อยขึ้นในกลุ่ม APT อื่นๆ ในเครือจีน เช่น LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood และ FontGoblin PlushDaemon เริ่มต้นห่วงโซ่การโจมตีโดยการเจาะระบบอุปกรณ์เครือข่ายเอดจ์ที่เหยื่อน่าจะเชื่อมต่อผ่าน โดยทั่วไปแล้วการโจมตีมักเกิดจากช่องโหว่ที่ไม่ได้รับการแก้ไขหรือการยืนยันตัวตนที่อ่อนแอ

เมื่อควบคุมอุปกรณ์ได้แล้ว EdgeStepper จะถูกติดตั้งเพื่อควบคุมการรับส่งข้อมูล DNS โหนด DNS ที่เป็นอันตรายจะประเมินคำขอขาเข้า และเมื่อตรวจพบโดเมนที่เชื่อมโยงกับการอัปเดตซอฟต์แวร์ โหนด DNS นั้นจะตอบกลับด้วยที่อยู่ IP ของโหนดที่แฮ็กเกอร์ติดตั้ง การตั้งค่านี้ทำให้สามารถส่งเพย์โหลดที่เป็นอันตรายได้โดยไม่ทำให้เกิดข้อสงสัยในทันที

ช่องทางการอัปเดตที่ถูกแฮ็กและห่วงโซ่การปรับใช้

แคมเปญของ PlushDaemon มุ่งเน้นการตรวจสอบกลไกการอัปเดตที่แอปพลิเคชันจีนหลายตัวใช้งาน รวมถึง Sogou Pinyin เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลการอัปเดตที่ถูกต้อง การโจมตีนี้ทำให้ผู้โจมตีเผยแพร่ไฟล์ DLL อันตรายชื่อ LittleDaemon (popup_4.2.0.2246.dll) ซึ่งทำหน้าที่เป็นอิมแพลนต์ขั้นแรก หากระบบยังไม่ได้โฮสต์แบ็คดอร์ SlowStepper ไว้ LittleDaemon จะติดต่อโหนดของผู้โจมตีและดึงตัวดาวน์โหลดชื่อ DaemonicLogistics ออกมา

บทบาทของ DaemonicLogistics นั้นตรงไปตรงมา: ดาวน์โหลดและใช้งาน SlowStepper เมื่อเปิดใช้งานแล้ว SlowStepper จะมอบความสามารถที่หลากหลาย ซึ่งรวมถึงการรวบรวมรายละเอียดระบบ การรับไฟล์ การดึงข้อมูลรับรองเบราว์เซอร์ การดึงข้อมูลจากแอปพลิเคชันส่งข้อความหลายตัว และการลบตัวเองออกหากจำเป็น

ขยายขีดความสามารถผ่านการปลูกถ่ายแบบประสานกัน

ฟังก์ชันการทำงานที่ผสานกันของ EdgeStepper, LittleDaemon, DaemonicLogistics และ SlowStepper ช่วยให้ PlushDaemon มีชุดเครื่องมือที่ครอบคลุม ซึ่งสามารถโจมตีองค์กรต่างๆ ทั่วโลกได้ การใช้งานที่สอดประสานกันนี้ทำให้กลุ่มนี้สามารถเข้าถึงข้อมูลได้อย่างต่อเนื่อง มีความสามารถป้องกันการโจรกรรมข้อมูล และมีโครงสร้างพื้นฐานที่ยืดหยุ่นสำหรับการดำเนินงานข้ามภูมิภาคในระยะยาว

ข้อสังเกตที่สำคัญ

การดำเนินงานของ PlushDaemon เผยให้เห็นถึงประเด็นที่สอดคล้องกันหลายประการ กลุ่มนี้ใช้การวางยาพิษแบบ Adversary-in-the-middle เป็นวิธีการหลักในการตั้งหลักปักฐานเบื้องต้น โดยใช้เพื่อสกัดกั้นและเปลี่ยนเส้นทางการรับส่งข้อมูลที่ขอบเครือข่าย เมื่อเป้าหมายถูกบุกรุก ผู้ก่อภัยคุกคามจะใช้ SlowStepper เป็นอุปกรณ์ฝังตัวหลักหลังการบุกรุก โดยใช้ประโยชน์จากคุณสมบัติการรวบรวมข้อมูลและการสอดแนมระบบที่ครอบคลุม ประสิทธิภาพของเวิร์กโฟลว์นี้ได้รับการเสริมด้วยความสามารถของ EdgeStepper ในการควบคุมการตอบสนองของ DNS ซึ่งช่วยให้ผู้โจมตีสามารถเปลี่ยนเส้นทางการรับส่งข้อมูลการอัปเดตซอฟต์แวร์ที่ถูกต้องไปยังโครงสร้างพื้นฐานของตนเองได้อย่างเงียบเชียบ