Imagen Principal

El grupo de amenazas conocido como PlushDaemon ha sido detectado utilizando un nuevo backdoor de red basado en Go, denominado EdgeStepper, para facilitar ataques de Adversario en el Medio (AitM) y secuestrar mecanismos de actualización de software.

EdgeStepper, un implante previamente indocumentado, ha sido diseñado para desviar las consultas DNS de las víctimas hacia una infraestructura controlada por los atacantes. Este backdoor permite a PlushDaemon redirigir el tráfico de las actualizaciones legítimas de software a nodos maliciosos, facilitando la entrega de payloads de segunda etapa.

El Actor de Amenaza PlushDaemon y sus Objetivos

PlushDaemon es un grupo de amenazas persistentes avanzadas (APT) alineado con China, activo desde al menos 2018. Ha dirigido sus ataques a entidades en diversas regiones, incluyendo EE. UU., Nueva Zelanda, Camboya, Hong Kong, Taiwán, Corea del Sur y China continental.

El grupo ya había sido documentado por ESET a principios de este año, revelando un ataque a la cadena de suministro dirigido a un proveedor de VPN surcoreano (IPany) para atacar a una empresa de semiconductores y otra de desarrollo de software. En ese ataque, PlushDaemon utilizó un implante rico en funciones llamado SlowStepper.

Entre las víctimas documentadas recientemente por ESET se encuentran:

  • Una universidad en Beijing.
  • Una empresa taiwanesa de fabricación de productos electrónicos.
  • Una empresa del sector automotriz.
  • Una sucursal de una empresa japonesa en el sector manufacturero.

Mecanismo de Ataque AitM con EdgeStepper

El mecanismo de acceso inicial principal de PlushDaemon es el envenenamiento AitM. Esta técnica ha sido adoptada por un número creciente de grupos APT afiliados a China en los últimos dos años (como LuoYu, Evasive Panda, BlackTech y otros), quienes la utilizan para secuestrar mecanismos de actualización de software.

Fases del ataque con EdgeStepper:

  1. Compromiso del Dispositivo de Red: El ataque comienza con la intrusión en un dispositivo de red perimetral (router) de la víctima. Esto se logra explotando vulnerabilidades de seguridad en el software del dispositivo o utilizando credenciales débiles.
  2. Despliegue de EdgeStepper: Una vez comprometido el dispositivo, se instala EdgeStepper.
  3. Redirección de DNS: EdgeStepper redirige todas las consultas DNS a un nodo DNS malicioso.
  4. Verificación del Dominio: El nodo DNS malicioso verifica si el dominio en la consulta está relacionado con actualizaciones de software.
  5. Secuestro del Tráfico: Si la consulta es sobre una actualización de software, el nodo DNS responde con la dirección IP de un nodo de secuestro. Esto redirige el tráfico de actualización de software de la víctima hacia la infraestructura controlada por el atacante.

Internamente, EdgeStepper consta de dos componentes principales: un módulo Distributor que resuelve la dirección IP del nodo DNS malicioso, y un componente Ruler que configura las reglas de filtrado de paquetes IP (usando iptables) para implementar la redirección.

La Cadena de Infección Multi-Etapa

El objetivo final de esta maniobra AitM es entregar payloads maliciosos a las víctimas. Los atacantes buscan específicamente secuestrar los canales de actualización de software, como el del software chino Sogou Pinyin.

Secuencia de infección:

  1. EdgeStepper: Realiza la redirección de DNS en el dispositivo perimetral.
  2. Entrega de LittleDaemon: A través de la actualización de software secuestrada, se entrega un DLL malicioso llamado LittleDaemon (popup_4.2.0.2246.dll).
  3. Descarga de DaemonicLogistics: Si SlowStepper no está ya presente en el sistema, LittleDaemon se comunica con el nodo del atacante para obtener DaemonicLogistics, un componente de descarga.
  4. Despliegue de SlowStepper: DaemonicLogistics descarga y ejecuta el backdoor SlowStepper desde el servidor de los atacantes.

SlowStepper es un implante con capacidades avanzadas para el robo de información, incluyendo la recolección de datos del sistema, archivos, credenciales de navegador y datos de aplicaciones de mensajería. También tiene la capacidad de autodesinstalarse para evadir la detección.

Conclusión

La adopción de la técnica AitM mediante EdgeStepper demuestra la creciente sofisticación de PlushDaemon. Al comprometer dispositivos de red perimetral y secuestrar las actualizaciones de software, el grupo puede eludir las defensas tradicionales de la red y establecer una puerta trasera persistente. La capacidad de PlushDaemon de comprometer objetivos a nivel global subraya la importancia de asegurar los dispositivos de red, gestionar las credenciales de manera estricta y monitorear el tráfico de red en busca de anomalías.

Referencias

  • Amenaza: PlushDaemon (APT alineado con China)
  • Malware Principal: EdgeStepper (backdoor de red Go-based)
  • Malware Secundario: SlowStepper (implante rico en funciones), LittleDaemon (DLL de primera etapa), DaemonicLogistics (descargador)
  • Investigador de ESET: Facundo Muñoz
  • Técnica de Ataque: Adversary-in-the-Middle (AitM), envenenamiento DNS
  • Grupos APT relacionados: LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood, FontGoblin