EdgeStepper Backdoor
Ang isang aktor ng pagbabanta na nakahanay sa China na kilala bilang PlushDaemon ay na-link sa isang bagong natuklasang Go-based na backdoor ng network na pinangalanang EdgeStepper, isang tool na ginawa upang suportahan ang mga operasyon ng adversary‑in-the-middle (AitM). Sa pamamagitan ng pagmamanipula ng trapiko sa network sa antas ng DNS, pinalawak ng pangkat na ito ang kakayahang humarang at mag-redirect ng mga daloy ng data para sa mga naka-target na kampanyang panghihimasok sa maraming rehiyon.
Talaan ng mga Nilalaman
EdgeStepper: Nire-redirect ang Trapiko sa Nakakahamak na Imprastraktura
Gumaganap ang EdgeStepper bilang mekanismo ng pag-hijack sa antas ng network. Kapag na-deploy na, nire-reroute nito ang bawat kahilingan ng DNS sa isang panlabas na nakakahamak na node. Inililihis ng pagmamanipulang ito ang trapikong inilaan para sa lehitimong imprastraktura ng pag-update ng software at sa halip ay ipinapasa ito sa mga system na nasa ilalim ng kontrol ng umaatake.
Sa panloob, gumagana ang tool sa pamamagitan ng dalawang pangunahing module. Niresolba ng Distributor ang address ng nakakahamak na DNS node (hal., test.dsc.wcsset.com), habang kino-configure ng Ruler ang mga panuntunan sa pag-filter ng packet sa pamamagitan ng mga iptable upang ipatupad ang pag-redirect. Sa ilang mga kaso, ang DNS node at hijacking node ay iisa at pareho, na nagiging sanhi ng DNS service na ibalik ang sarili nitong IP address sa panahon ng proseso ng spoofing.
Mga Matagal na Operasyon at Global Targeting
Aktibo mula noong hindi bababa sa 2018, ang PlushDaemon ay nakatuon sa mga organisasyon sa buong US, New Zealand, Cambodia, Hong Kong, Taiwan, South Korea, at mainland China. Ang mga aktibidad nito ay unang pormal na naiulat noong Enero 2025 sa panahon ng pagsisiyasat sa isang kompromiso sa supply chain na kinasasangkutan ng provider ng South Korean VPN na si IPany. Ang insidenteng iyon ay nagsiwalat kung paano inilagay ng mga umaatake ang multifunctional implant na SlowStepper laban sa isang semiconductor firm at isang hindi kilalang kumpanya ng software development.
Kabilang sa mga karagdagang biktima na natukoy sa susunod na pananaliksik ang isang unibersidad sa Beijing, isang tagagawa ng electronics sa Taiwan, isang kumpanya ng automotive, at isang panrehiyong sangay ng isang kumpanya sa pagmamanupaktura ng Japan. Nagtala din ang mga analyst ng karagdagang aktibidad sa Cambodia noong 2025, kung saan dalawa pang organisasyon, isa sa sektor ng automotive at isa pa na nakatali sa isang Japanese manufacturer, ang na-target ng SlowStepper.
Pagkalason sa AitM: Pangunahing Diskarte sa Pagpasok ng PlushDaemon
Lubos na umaasa ang grupo sa pagkalason sa AitM bilang paunang pamamaraan ng panghihimasok nito, isang trend na lalong ibinabahagi sa iba pang mga cluster ng APT na nauugnay sa China gaya ng LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood, at FontGoblin. Pinasimulan ng PlushDaemon ang attack chain nito sa pamamagitan ng pagkompromiso sa isang edge network device na malamang na makakonekta sa biktima. Ang kompromiso ay kadalasang nagmumula sa hindi na-patch na mga kahinaan o mahinang pagpapatotoo.
Kapag nasa ilalim ng kontrol ang device, naka-install ang EdgeStepper upang manipulahin ang trapiko ng DNS. Sinusuri ng nakakahamak na DNS node ang mga papasok na kahilingan at, kapag naka-detect ng mga domain na nauugnay sa mga update ng software, tumutugon sa IP address ng hijacking node. Ang pag-setup na ito ay nagbibigay-daan sa malisyosong paghahatid ng mga payload nang hindi agad nagdaragdag ng hinala.
Na-hijack ang Mga Channel sa Update at ang Deployment Chain
Partikular na sinusuri ng kampanya ng PlushDaemon ang mga mekanismo ng pag-update na ginagamit ng ilang mga application ng Chinese, kabilang ang Sogou Pinyin, upang i-redirect ang lehitimong trapiko sa pag-update. Sa pamamagitan ng pagmamanipulang ito, namamahagi ang mga umaatake ng nakakahamak na DLL na pinangalanang LittleDaemon (popup_4.2.0.2246.dll), na nagsisilbing first-stage implant. Kung hindi pa naka-host ang system sa backdoor ng SlowStepper, nakikipag-ugnayan ang LittleDaemon sa attacker node at kukuha ng downloader na tinatawag na DaemonicLogistics.
Ang tungkulin ng DaemonicLogistics ay diretso: i-download at isagawa ang SlowStepper. Kapag aktibo na, naghahatid ang SlowStepper ng malawak na hanay ng mga kakayahan na kinabibilangan ng pagkolekta ng mga detalye ng system, pagkuha ng mga file, pag-extract ng mga kredensyal ng browser, pagkuha ng data mula sa maraming application sa pagmemensahe, at pag-alis sa sarili nito kung kinakailangan.
Pinalawak na Kakayahan sa Pamamagitan ng Coordinated Implants
Ang pinagsamang functionality ng EdgeStepper, LittleDaemon, DaemonicLogistics, at SlowStepper ay nagbibigay ng PlushDaemon ng isang komprehensibong toolset na may kakayahang ikompromiso ang mga organisasyon sa buong mundo. Ang kanilang pinagsama-samang paggamit ay nagbibigay sa grupo ng patuloy na pag-access, mga kakayahan sa pagnanakaw ng data, at isang flexible na imprastraktura para sa pangmatagalang mga operasyon sa cross-region.
Mga Pangunahing Obserbasyon
Ang mga operasyon ng PlushDaemon ay nagpapakita ng ilang pare-parehong tema. Ang grupo ay lubos na umaasa sa adversary-in-the-middle poisoning bilang ang ginustong paraan nito para magkaroon ng paunang foothold, gamit ito upang maharang at i-redirect ang trapiko sa gilid ng network. Kapag nakompromiso na ang isang target, umaasa ang aktor ng banta sa SlowStepper bilang pangunahing post-intrusion implant nito, na sinasamantala ang malawak nitong data-gathering at system-reconnaissance feature. Ang pagiging epektibo ng daloy ng trabaho na ito ay pinalalakas ng kakayahan ng EdgeStepper na manipulahin ang mga tugon ng DNS, na nagbibigay-daan sa mga umaatake na tahimik na ilihis ang lehitimong trapiko sa pag-update ng software patungo sa kanilang sariling imprastraktura.
