Os investigadores da ESET descobriram que o grupo de ameaças PlushDaemon, alinhado com a China, realiza ataques do tipo ‘man-in-the-middle’ utilizando um implante anteriormente não documentado para dispositivos de rede (por exemplo, um router) que a ESET denominou EdgeStepper. Este implante redireciona todas as consultas DNS para um servidor DNS externo malicioso que responde com o endereço de outro nó que realiza o sequestro de atualizações.
O EdgeStepper redireciona efetivamente o tráfego de atualizações de software para uma infraestrutura controlada pelo invasor com o objetivo de implantar os downloaders LittleDaemon e DaemonicLogistics em máquinas específicas e, por fim, distribuir o implante SlowStepper. O SlowStepper é um kit de ferramentas backdoor com dezenas de componentes usados para ciberespionagem. Estes implantes dão ao PlushDaemon a capacidade de comprometer alvos em qualquer lugar do mundo.
Desde 2019, este grupo alinhado com a China lançou ataques nos Estados Unidos, Nova Zelândia, Camboja, Hong Kong, Taiwan e na própria China continental. Entre as suas vítimas estavam uma universidade em Pequim, uma empresa taiwanesa que fabrica produtos eletrónicos, uma empresa do setor automóvel e uma filial de uma empresa japonesa do setor industrial.
No cenário de ataque descoberto, o PlushDaemon primeiro compromete um dispositivo de rede ao qual o alvo se pode ligar; provavelmente explorando uma vulnerabilidade no software em execução no dispositivo ou através de credenciais administrativas padrão fracas e/ou bem conhecidas, permitindo que os invasores implantem o EdgeStepper (e, possivelmente, outras ferramentas).
“A partir daí, o EdgeStepper começa a redirecionar as consultas DNS para um nó DNS malicioso que verifica se o domínio na mensagem de consulta DNS está relacionado com atualizações de software e, em caso afirmativo, responde com o endereço IP do nó de sequestro. Em alternativa, também observámos que alguns servidores são tanto o nó DNS como o nó de sequestro; nesses casos, o nó DNS responde às consultas DNS com o seu próprio endereço IP”, diz Facundo Muñoz, um dos investigadores da ESET que descobriu e analisou o ataque. “Vários produtos de software chineses populares viram as suas atualizações sequestradas pelo PlushDaemon através do EdgeStepper”, acrescenta.
O PlushDaemon é um grupo cibercriminoso alinhado com a China, ativo desde pelo menos 2018, que se dedica a operações de ciberespionagem contra indivíduos e entidades na Ásia Oriental-Pacífico e nos Estados Unidos. Utiliza um backdoor personalizado que a ESET rastreia como SlowStepper. No passado, a ESET observou o grupo a obter acesso através de vulnerabilidades em servidores web e, em 2023, realizou um ataque a uma cadeia de abastecimento.
Detalhes técnicos: https://www.welivesecurity.com/en/eset-research/plushdaemon-compromises-network-devices-for-adversary-in-the-middle-attacks/
