Il gruppo di cyber spionaggio noto come PlushDaemon è stato recentemente osservato nell’utilizzo di una nuova backdoor di rete sviluppata in Go e denominata EdgeStepper. Questo strumento malevolo è stato progettato per facilitare attacchi di tipo adversary-in-the-middle, una tecnica sempre più diffusa tra i gruppi APT affiliati alla Cina negli ultimi anni. L’obiettivo principale di EdgeStepper è quello di reindirizzare tutte le richieste DNS verso un nodo di hijacking controllato dagli attaccanti, alterando di fatto il normale flusso di traffico tra le infrastrutture di aggiornamento software legittime e i dispositivi delle vittime.

Il gruppo PlushDaemon è attivo almeno dal 2018 e ha colpito organizzazioni in Stati Uniti, Cambogia, Nuova Zelanda, Hong Kong, Taiwan, Corea del Sud e Cina continentale. Tra le vittime si contano aziende del settore elettronico, automotive, università e filiali di compagnie giapponesi. Una delle prime campagne documentate vedeva PlushDaemon prendere di mira un provider VPN sudcoreano attraverso una sofisticata supply chain attack, installando un impianto malevolo chiamato SlowStepper.

Il modus operandi di PlushDaemon inizia con la compromissione di un dispositivo edge della rete, come router o gateway, sfruttando vulnerabilità software o credenziali deboli. Una volta ottenuto l’accesso, viene installato EdgeStepper, che intercetta e reindirizza il traffico DNS verso un server malevolo. Questo server verifica se la richiesta DNS riguarda domini relativi ad aggiornamenti software e, in caso positivo, restituisce l’indirizzo IP del nodo di hijacking. In alcuni scenari, lo stesso server agisce sia come nodo DNS che come nodo di hijacking, semplificando l’architettura dell’attacco.

EdgeStepper: moduli principali

• Distributor: risolve l’indirizzo IP del nodo DNS malevolo.
• Ruler: imposta regole iptables per il filtraggio dei pacchetti IP.

Attraverso l’hijacking dei canali di aggiornamento di software popolari cinesi, come Sogou Pinyin, EdgeStepper distribuisce una DLL malevola nota come LittleDaemon. Questo componente funge da primo stadio e comunica con l’infrastruttura degli attaccanti per scaricare un downloader chiamato DaemonicLogistics, che, a sua volta, installa la backdoor SlowStepper. SlowStepper offre funzionalità avanzate di esfiltrazione dati, raccolta di credenziali, accesso a browser e messaggistica, oltre alla possibilità di autodisinstallarsi per coprire le tracce.

La sofisticazione di questi attacchi conferma come i gruppi APT cinesi stiano perfezionando le tecniche di compromissione della catena di aggiornamento software, sfruttando dispositivi di rete e vulnerabilità DNS per distribuire malware e ottenere pieno controllo dei sistemi delle vittime.