El actor de amenazas conocido como Demonio de peluche se ha observado que utiliza una puerta trasera de red basada en Go, previamente indocumentada, con el nombre en código EdgeSepper para facilitar los ataques de tipo adversario intermedio (AiTM).
EdgeStepper «redirige todas las consultas de DNS a un nodo de secuestro malicioso externo, lo que redirige de manera efectiva el tráfico de la infraestructura legítima utilizada para las actualizaciones de software a la infraestructura controlada por el atacante», dijo Facundo Muñoz, investigador de seguridad de ESET dijo en un informe compartido con The Hacker News.
PlushDaemon, conocido por estar activo desde al menos 2018, es considerado un grupo alineado con China que ha atacado a entidades en EE. UU., Nueva Zelanda, Camboya, Hong Kong, Taiwán, Corea del Sur y China continental.
Era primera documentación realizado por la empresa de ciberseguridad eslovaca a principios de enero, en el que se detallaba un ataque a la cadena de suministro dirigido a un proveedor de redes privadas virtuales (VPN) surcoreano llamado iPany para atacar a una empresa de semiconductores y a una empresa de desarrollo de software no identificada de Corea del Sur con un implante rico en funciones denominado SlowStepper.
Entre las víctimas del adversario figuran una universidad de Beijing, una empresa taiwanesa que fabrica productos electrónicos, una empresa del sector de la automoción y una sucursal de una empresa japonesa del sector manufacturero. A principios de este mes, ESET también dijo observó que PlushDaemon atacó este año a dos entidades en Camboya, una empresa del sector de la automoción y una sucursal de una empresa japonesa del sector manufacturero, con SlowStepper.
El principal mecanismo de acceso inicial para el actor de amenazas es aprovechar el envenenamiento por AiTM, una técnica que ha sido adoptada por un número «cada vez mayor» de clústeres de amenazas persistentes avanzadas (APT) afiliados a China en los últimos dos años, como LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood y FontGoblin. ESET dijo que está rastreando a diez grupos activos alineados con China que han secuestrado los mecanismos de actualización de software para el acceso inicial y el movimiento lateral.
Básicamente, el ataque comienza cuando el actor de la amenaza compromete un dispositivo de red perimetral (por ejemplo, un enrutador) al que es probable que se conecte su objetivo. Esto se logra aprovechando una falla de seguridad en el software o mediante credenciales débiles, lo que les permite implementar CAEdgeSepper.
«Luego, EdgeSepper comienza a redirigir las consultas de DNS a un nodo de DNS malintencionado que verifica si el dominio del mensaje de consulta de DNS está relacionado con actualizaciones de software y, de ser así, responde con la dirección IP del nodo secuestrador», explicó Muñoz. «Alternativamente, también hemos observado que algunos servidores son tanto el nodo DNS como el nodo secuestrador; en esos casos, el nodo DNS responde a las consultas DNS con su propia dirección IP».
Internamente, el malware consta de dos partes móviles: un módulo distribuidor que resuelve la dirección IP asociada al dominio del nodo DNS («test.dsc.wcsset [.] com») e invoca el componente Ruler responsable de configurar las reglas de filtro de paquetes IP mediante iptables.
El ataque comprueba específicamente si hay varios canales de actualización de software chino, incluido Sogou Pinyin, secuestrados mediante EdgeStepper para entregar una DLL maliciosa («popup_4.2.0.2246.dll», también conocida como LittleDaemon) desde un servidor controlado por actores de amenazas. LittleDaemon, que en una primera etapa se implementa mediante actualizaciones secuestradas, está diseñado para comunicarse con el nodo atacante y buscar un descargador denominado DaemonicLogistics si SlowStepper no se está ejecutando en el sistema infectado.
El objetivo principal de DaemonicLogistics es descargar la puerta trasera de SlowStepper del servidor y ejecutarla. SlowStepper admite un amplio conjunto de funciones para recopilar información del sistema, archivos y credenciales del navegador, extraer datos de varias aplicaciones de mensajería e incluso desinstalarse automáticamente.
«Estos implantes le dan a PlushDaemon la capacidad de comprometer objetivos en cualquier parte del mundo», dijo Muñoz.