A ESET descobriu que o grupo de ciberespionagem PlushDaemon, alinhado com a China, compromete dispositivos de rede através de um implante inédito denominado EdgeStepper para realizar ataques ‘adversary-in-the-middle’ e sequestrar atualizações de software. O implante redireciona consultas DNS para servidores maliciosos controlados pelo grupo, permitindo a distribuição do backdoor SlowStepper em máquinas específicas para operações de ciberespionagem.
Os investigadores da empresa europeia de cibersegurança identificaram o EdgeStepper num ficheiro ELF suspeito denominado “bioset”, desenvolvido em Go para arquitetura MIPS32 e concebido para dispositivos de rede de reduzida capacidade. Desde 2019, o PlushDaemon visou alvos nos Estados Unidos, Nova Zelândia, Camboja, Hong Kong, Taiwan e China continental, incluindo uma universidade em Pequim, fabricantes de eletrónica taiwaneses, empresas do setor automóvel e filiais de companhias japonesas do setor industrial.
Como funciona o ataque a routers e outros dispositivos de rede
O PlushDaemon compromete primeiro um dispositivo de rede ao qual o alvo se pode conectar, explorando vulnerabilidades no software ou credenciais administrativas fracas. Após instalar o EdgeStepper, o implante inicia dois módulos principais: o Distributor, que resolve o endereço IP associado ao domínio do nó DNS malicioso, e o Ruler, responsável por configurar regras de filtragem de pacotes IP através de iptables.
O EdgeStepper redireciona o tráfego DNS para a porta 1090, onde verifica se o domínio na consulta está relacionado com atualizações de software. Segundo Facundo Muñoz, investigador da ESET que descobriu e analisou o ataque, o nó DNS malicioso responde com o endereço IP do nó de sequestro quando deteta domínios relacionados com atualizações. Em alternativa, alguns servidores funcionam simultaneamente como nó DNS e nó de sequestro, respondendo às consultas com o próprio endereço IP.
Softwares visados e implantes distribuídos
Vários produtos de software chineses populares viram as suas atualizações sequestradas pelo PlushDaemon, incluindo o Sogou Pinyin. O sequestro permite a distribuição dos downloaders LittleDaemon e DaemonicLogistics, que verificam se o backdoor SlowStepper está a correr no sistema infetado.
O SlowStepper constitui um kit de ferramentas backdoor modular com dezenas de componentes desenvolvidos em C++, Python e Go, permitindo exfiltração de dados, gravação de áudio e vídeo, e reconhecimento de rede. O implante EdgeStepper utiliza encriptação AES-CBC com chaves hardcoded para desencriptar dados de configuração, que incluem o domínio test.dsc.wcsset[.]com, resolvido para o endereço IP 47.242.198[.]250 entre 2021 e 2022.
Historial do grupo PlushDaemon e operações anteriores
O PlushDaemon está ativo desde pelo menos 2018 e dedica-se a operações de ciberespionagem contra indivíduos e entidades na região Ásia-Pacífico Oriental e nos Estados Unidos. A ESET observou o grupo a obter acesso através de vulnerabilidades em servidores web e, em 2023, documentou um ataque à cadeia de abastecimento contra a IPany, fornecedor sul-coreano de VPN.
A capacidade de comprometer dispositivos de rede confere ao PlushDaemon alcance global para implantar ferramentas de espionagem em alvos estratégicos. O nome interno do implante EdgeStepper, “dns_cheat_v2”, sugere a existência de versões anteriores desta ferramenta de manipulação DNS.
Conclusão
A descoberta do EdgeStepper revela um vetor de ataque sofisticado que compromete a confiança na infraestrutura de rede e nas atualizações de software legítimas. A exploração de dispositivos de rede posiciona o PlushDaemon numa camada crítica da infraestrutura digital, permitindo vigilância persistente e distribuição silenciosa de malware através de canais considerados seguros.
Para mais informações, leia o comunicado oficial da ESET.
Outros artigos interessantes:
