Backdoor chinês compromete atualizações de software

Pesquisadores da ESET descobriram que o grupo PlushDaemon, alinhado à China, utiliza um backdoor em Go chamado EdgeStepper para realizar ataques adversary-in-the-middle (AitM) sequestrando consultas DNS.
O EdgeStepper redireciona todas as consultas DNS feitas por dispositivos comprometidos para um nó malicioso, desviando o tráfego de atualização de softwares legítimos para infraestruturas controladas pelos atacantes.

Linha do tempo e contexto dos ataques

PlushDaemon está ativo pelo menos desde 2018, com histórico de ataques a entidades nos EUA, Nova Zelândia, Camboja, Hong Kong, Taiwan, Coreia do Sul, China continental e mais.
O grupo já realizou ataques supply chain (cadeia de suprimentos), como documentado em investigações sobre ataques à provedora de VPN IPany na Coreia do Sul.

Entre vítimas estão universidades, fabricantes de eletrônicos, companhias do setor automotivo e filiais de multinacionais.

Técnica de infecção

O ataque normalmente começa pelo comprometimento de dispositivos de borda, como roteadores, utilizando exploração de falhas conhecidas ou credenciais fracas.
Após comprometer o dispositivo, o EdgeStepper passa a redirecionar as consultas DNS para servidores controlados pelo grupo, focando especialmente canais de atualização de software.
Se uma atualização for requisitada (ex: Sogou Pinyin), o servidor responde com o IP do node malicioso, entregando uma DLL maliciosa chamada LittleDaemon.

Cadeia de infecção múltipla

A DLL LittleDaemon conecta-se ao servidor do atacante para baixar o módulo DaemonicLogistics — que, se o SlowStepper não estiver presente, faz o download e execução desse backdoor principal.
O SlowStepper coleta informações do sistema, arquivos, credenciais de navegadores, dados de apps de mensagens e pode até se desinstalar após comprometer o alvo.

Impacto global

A ESET monitora pelo menos dez grupos APT ligados à China que usam sequestro de atualização de software como vetor de ataque para acesso inicial e movimento lateral.
Esses métodos permitem ao PlushDaemon e grupos similares comprometer alvos em qualquer lugar do mundo por meio de ataques discretos e difíceis de detectar.

Recomendações

• Mantenha dispositivos de rede e endpoints sempre atualizados e com as configurações de segurança reforçadas.
• Reduza ao máximo a exposição de DNS e serviços sensíveis à internet.
• Verifique canais de atualização de software e monitore a integridade dos binários baixados.