Imagen Principal

El actor de amenazas PlushDaemon ha sido identificado utilizando una nueva puerta trasera de red basada en Go, denominada EdgeStepper, para facilitar ataques de Adversario en el Medio (AitM). EdgeStepper tiene la capacidad de redirigir todas las consultas DNS a un nodo malicioso externo, desviando el tráfico de la infraestructura legítima de actualizaciones de software hacia infraestructura controlada por los atacantes.

Sobre el actor de amenazas PlushDaemon

PlushDaemon es un grupo de amenazas alineado con China, activo desde al menos 2018. Se le conoce por dirigir ataques contra entidades en Estados Unidos, Nueva Zelanda, Camboya, Hong Kong, Taiwán, Corea del Sur y China continental.

El grupo fue documentado por ESET a principios de este año por un ataque a la cadena de suministro dirigido a un proveedor de VPN de Corea del Sur (IPany). En ese ataque, utilizaron un implante sofisticado llamado SlowStepper para atacar a una empresa de semiconductores y una empresa de desarrollo de software en Corea del Sur.

Víctimas notables incluyen:

  • Una universidad en Beijing.
  • Una empresa taiwanesa fabricante de productos electrónicos.
  • Empresas del sector automotriz.
  • Una sucursal de una empresa japonesa en el sector manufacturero.

Mecanismo de ataque EdgeStepper y AitM

El principal mecanismo de acceso inicial de PlushDaemon es el envenenamiento AitM. Esta técnica ha sido adoptada por un número creciente de grupos de amenazas persistentes avanzadas (APT) afiliados a China en los últimos dos años, como LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood y FontGoblin.

El ataque comienza con la compromiso de un dispositivo de red perimetral (como un enrutador) al que el objetivo probablemente se conectará. Esto se logra explotando vulnerabilidades de seguridad en el software o mediante credenciales débiles, lo que permite el despliegue de EdgeStepper.

Funcionamiento de EdgeStepper:

  1. Redirección de DNS: EdgeStepper redirige las consultas DNS a un nodo DNS malicioso.
  2. Verificación de dominio: El nodo DNS malicioso verifica si el dominio en la consulta está relacionado con actualizaciones de software.
  3. Respuesta maliciosa: Si la consulta se relaciona con una actualización, el nodo DNS responde con la dirección IP del nodo de secuestro, desviando el tráfico de actualización del software legítimo. En algunos casos, el mismo servidor actúa como nodo DNS y nodo de secuestro.

El malware EdgeStepper consta de dos partes: un módulo “Distributor” que resuelve la dirección IP del nodo DNS malicioso y un componente “Ruler” que configura las reglas de filtrado de paquetes IP utilizando iptables.

Cadena de infección y payload SlowStepper

El ataque de EdgeStepper está específicamente diseñado para secuestrar los canales de actualización de software chino, como Sogou Pinyin. A través de este secuestro, se entrega un DLL malicioso llamado LittleDaemon (alias “popup_4.2.0.2246.dll”) desde un servidor controlado por el actor de amenazas.

Proceso de infección de varias etapas:

  1. LittleDaemon: Actúa como un descargador inicial. Si el sistema infectado no tiene SlowStepper ejecutándose, LittleDaemon se comunica con el nodo del atacante para obtener el descargador de segunda etapa, DaemonicLogistics.
  2. DaemonicLogistics: Tiene como único propósito descargar el backdoor SlowStepper del servidor y ejecutarlo.
  3. SlowStepper: Este es el implante principal y más sofisticado. SlowStepper ofrece amplias funcionalidades, incluyendo:
    • Recolección de información del sistema.
    • Exfiltración de archivos.
    • Extracción de credenciales de navegadores.
    • Extracción de datos de varias aplicaciones de mensajería.
    • Capacidad de autodesinstalación.

Conclusiones

EdgeStepper representa una evolución en las tácticas de PlushDaemon, aprovechando el secuestro de DNS para comprometer la cadena de suministro de actualizaciones de software. Esta técnica permite al grupo infiltrarse en redes y desplegar su implante SlowStepper. La sofisticación de SlowStepper, combinada con el uso creciente de ataques AitM por parte de APTs chinos, subraya la necesidad de fortalecer la seguridad de los dispositivos perimetrales y monitorear el tráfico DNS en busca de anomalías.

Referencias

  • Investigador principal: Facundo Muñoz (ESET)
  • Implantes asociados: SlowStepper, LittleDaemon, DaemonicLogistics
  • APT relacionados con AitM: LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood, FontGoblin.