Un acteur menaçant lié à la Chine, connu sous le nom de « PlushDaemon », détourne le trafic des mises à jour logicielles à l’aide d’un nouvel implant appelé EdgeStepper dans des opérations de cyberespionnage.
Depuis 2018, les pirates informatiques de PlushDaemon ciblent des individus et des organisations aux États-Unis, en Chine, à Taiwan, à Hong Kong, en Corée du Sud et en Nouvelle-Zélande avec des logiciels malveillants personnalisés, tels que la porte dérobée SlowStepper.
PlushDaemon a compromis des fabricants d’électronique, des universités et une usine de fabrication automobile japonaise au Cambodge. Les données de télémétrie de la société de cybersécurité ESET indiquent que depuis 2019, l’auteur de la menace s’appuie sur des mises à jour malveillantes pour violer les réseaux cibles.
Chaîne d’attaque
Les attaquants accèdent aux routeurs en exploitant des vulnérabilités connues ou des mots de passe administrateur faibles, installent l’implant EdgeStepper, puis redirigent le trafic de mise à jour logicielle vers leur propre infrastructure.
Développé dans Golang et compilé en tant que binaire ELF, EdgeStepper fonctionne en interceptant les requêtes DNS et en les redirigeant vers un nœud DNS malveillant après avoir confirmé que le domaine est utilisé pour fournir des mises à jour logicielles, expliquent les chercheurs d’ESET dans un rapport partagé avec Breachtrace.
Lorsqu’une victime essaie de mettre à jour son logiciel, elle reçoit le téléchargeur de logiciels malveillants de première étape pour Windows appelé LittleDaemon, qui est déguisé en un fichier DLL nommé ‘popup_4.2.0.2246.dll.’
LittleDaemon établit la communication avec le nœud de détournement de l’attaquant et récupère un deuxième compte-gouttes de malware nommé DaemonicLogistics, qui est déchiffré et exécuté en mémoire.
Dans l’étape suivante de l’attaque, les pirates utilisent la logistique démoniaque pour récupérer leur porte dérobée de signature, SlowStepper.
La porte dérobée a déjà été documentée dans des attaques contre des utilisateurs du produit VPN sud-coréen IPany. Au cours de ces attaques, les utilisateurs ont téléchargé un programme d’installation cheval de Troie sur le site officiel du fournisseur.
Le malware SlowStepper permet aux pirates de collecter des informations système détaillées, d’exécuter des opérations de fichiers étendues, d’exécuter des commandes et d’utiliser divers outils logiciels espions basés sur Python qui peuvent voler des données du navigateur, intercepter des frappes au clavier et collecter des informations d’identification.
Les chercheurs d’ESET ont déclaré avoir examiné le détournement de Sogou Pinyin par PlushDaemon, une méthode de saisie logicielle très populaire en Chine, mais ils ont observé que d’autres mises à jour de produits étaient détournées de la même manière.
Ils notent que les capacités d’adversaire au milieu du PlushDaemon sont suffisamment fortes « pour compromettre des cibles partout dans le monde. »
Le rapport publié aujourd’hui comprend des détails techniques pour tous les logiciels malveillants nouvellement découverts ainsi qu’un ensemble d’indicateurs de compromission pour les fichiers, les adresses IP et les domaines utilisés par PlushDaemon dans les attaques qui ont déployé l’implant réseau EdgeStepper.