ESET ha individuato EdgeStepper, componente che dirotta gli aggiornamenti verso infrastrutture controllate. PlushDaemon lo usa per distribuire downloader e la backdoor SlowStepper. Le operazioni di cyberspionaggio vengono condotte tramite la compromissione di dispositivi di rete e sistemi Windows
I ricercatori di ESET, leader globale nel mercato della cybersecurity, hanno scoperto che il gruppo di minaccia PlushDaemon, allineato alla Cina, conduce attacchi adversary-in-the-middle sfruttando un componente malevolo finora non documentato destinato ai dispositivi di rete (come i router), che ESET ha denominato EdgeStepper. Questo componente reindirizza tutte le query DNS verso un server DNS esterno e malevolo, che risponde fornendo l’indirizzo di un nodo dedicato al dirottamento degli aggiornamenti. In pratica, gli attaccanti riescono così a reindirizzare il traffico degli aggiornamenti software verso infrastrutture sotto il loro controllo, con l’obiettivo di distribuire i downloader LittleDaemon e DaemonicLogistics sui sistemi presi di mira e, in ultima istanza, installare SlowStepper. SlowStepper è una backdoor modulare composta da numerosi componenti utilizzati per attività di cyberspionaggio. Questi componenti malevoli consentono a PlushDaemon di compromettere obiettivi a livello globale.
Dal 2019, questo gruppo filo-cinese ha condotto attacchi negli Stati Uniti, in Nuova Zelanda, Cambogia, Hong Kong, Taiwan e anche nella Cina continentale. Tra le vittime figurano un’università di Pechino, un’azienda taiwanese del settore elettronico, una realtà del comparto automotive e una filiale di un’azienda giapponese attiva nel manifatturiero.
Nello scenario d’attacco individuato, PlushDaemon compromette innanzitutto un dispositivo di rete al quale la vittima potrebbe collegarsi. La compromissione viene probabilmente ottenuta sfruttando una vulnerabilità nel software del dispositivo o facendo leva su credenziali amministrative deboli e/o note, che consentono così agli attaccanti di installare EdgeStepper (e potenzialmente altri strumenti).
“Una volta attivo, EdgeStepper inizia a reindirizzare le query DNS verso un nodo DNS malevolo che verifica se il dominio richiesto è collegato a un aggiornamento software; in tal caso, risponde fornendo l’indirizzo IP del nodo di dirottamento. In alternativa, abbiamo osservato server che fungono sia da nodo DNS sia da nodo di dirottamento: in questi casi, il nodo DNS risponde alle query con il proprio indirizzo IP”, spiega Facundo Muñoz, ricercatore ESET che ha scoperto e analizzato l’attacco. “Diversi software molto diffusi in Cina hanno subito un dirottamento degli aggiornamenti da parte di PlushDaemon tramite EdgeStepper”, aggiunge.
PlushDaemon è un threat actor allineato alla Cina attivo almeno dal 2018, impegnato in operazioni di spionaggio contro individui e organizzazioni nell’area Asia-Pacifico e negli Stati Uniti. Utilizza una backdoor personalizzata che ESET identifica come SlowStepper. In passato, ESET Research ha osservato questo gruppo ottenere l’accesso sfruttando vulnerabilità nei server web e, nel 2023, condurre un attacco alla supply chain.
Per un’analisi più approfondita della più recente attività di PlushDaemon, è disponibile l’articolo “PlushDaemon compromises network devices for adversary-in-the-middle attacks” su WeLiveSecurity.com. Gli aggiornamenti di ESET Research possono essere seguiti anche su Twitter (oggi X), BlueSky e Mastodon.
