A ESET publicou o resultado de uma investigação que identificou um grupo APT, denominado PlushDaemon, ligado à China e envolvido em operações de ciberespionagem.
A descoberta relaciona o grupo com a alteração de atualizações legítimas de aplicações chinesas e ataques a serviços de VPN na Coreia do Sul.
A atividade do PlushDaemon remonta a 2019 e engloba operações contra entidades em diversas regiões, incluindo China continental, Taiwan, Hong Kong, Coreia do Sul, Estados Unidos e Nova Zelândia.
Em maio de 2024, foi detetado um instalador NSIS para Windows, que permitia a instalação de software VPN associado ao serviço IPany, integrando simultaneamente uma backdoor.
Em maio de 2024, detetámos código malicioso num instalador NSIS para Windows que utilizadores da Coreia do Sul tinham descarregado do site do software legítimo de VPN, IPany. Numa análise mais aprofundada, descobrimos que o instalador estava a implementar tanto o software legítimo como uma backdoor. Contactámos o desenvolvedor do software VPN para os informar sobre a falha de segurança, e o instalador malicioso foi removido do site.
Facundo Muñoz, investigador da ESET
PlushDaemon: origem e métodos
O grupo obtém acesso inicial por meio da interferência em atualizações de aplicações legítimas, redirecionando o tráfego para servidores sob controlo dos atacantes. A investigação identificou ainda que o acesso se obtém pela exploração de vulnerabilidades em servidores web. A técnica permite a implementação de código malicioso em ambientes inicialmente considerados seguros.
Infraestruturas comprometidas
O incidente detetado em maio de 2024 envolveu o download de um instalador a partir do site do IPany, direcionado a utilizadores sul-coreanos.
A análise técnica revelou que o instalador incluía, para além do software VPN, uma backdoor que facilitava o acesso não autorizado. A falha foi reportada ao desenvolvedor do software, tendo sido procedida à remoção do instalador comprometido.
Backdoor slowstepper
A backdoor denominada SlowStepper opera como componente exclusivo do PlushDaemon. Este mecanismo permite a execução de múltiplos módulos adicionais escritos em Python, focados na recolha de dados de navegadores, documentos, fotografias e informações provenientes de aplicações de mensagens, nomeadamente WeChat e Telegram. O mecanismo inclui ainda funcionalidades para capturar áudio, vídeo e credenciais de acesso.
Os inúmeros componentes no conjunto de ferramentas do PlushDaemon, e o seu vasto histórico de versões, mostram que, embora desconhecido anteriormente, este grupo APT alinhado à China tem trabalhado diligentemente para desenvolver uma diversas ferramentas, tornando-o uma ameaça significativa a ser monitorizada.
Facundo Muñoz
A análise técnica da ESET evidencia o desenvolvimento contínuo do conjunto de ferramentas utilizado pelo grupo, sem registo anterior de atividade sob a designação PlushDaemon. A investigação reforça a necessidade de monitorização rigorosa das atualizações de software e de medidas de segurança em servidores.
Outros artigos interessantes:
