Chinese hackersgroep valt netwerkapparaten aan via malafide updates

De aanvallers proberen op deze manier updates van betrouwbare software te vervangen door eigen tools. Uiteindelijk wordt hiermee de SlowStepper-backdoor geïnstalleerd, een geavanceerd spionage-instrument met tientallen componenten. Deze methode geeft PlushDaemon wereldwijd toegang tot de netwerken van hun doelwitten.

De groep is sinds 2018 actief en voert sinds 2019 aanvallen uit in onder meer de Verenigde Staten, Nieuw-Zeeland, Cambodja, Hongkong, Taiwan en China zelf. Onder de slachtoffers bevinden zich een universiteit in Beijing, een Taiwanese fabrikant van elektronica, een bedrijf in de auto-industrie en een Japanse fabrikant.

Werkwijze EdgeStepper

PlushDaemon dringt binnen in netwerkapparaten waarmee doelwitten verbinding maken, waarschijnlijk via kwetsbaarheden in de software of met bekende standaardwachtwoorden. Vervolgens installeren ze EdgeStepper en mogelijk andere tools. Zodra EdgeStepper actief is, leidt het DNS-verkeer om naar een kwaadaardige server. Die server checkt of het opgevraagde domein bij software-updates hoort. Is dat zo, dan wordt het verkeer doorgestuurd naar een server van de aanvallers. In sommige gevallen combineert één server beide functies.

“PlushDaemon heeft met deze methode updates van meerdere populaire Chinese softwareproducten gekaapt”, zegt ESET-onderzoeker Facundo Muñoz, die de aanval analyseerde.

SlowStepper-backdoor

De groep staat bekend om het gebruik van de eigen backdoor SlowStepper. Eerder kregen ze toegang via kwetsbaarheden in webservers, en in 2023 voerde PlushDaemon zelfs een supply-chain-aanval uit.

Geografische spreiding van slachtoffers van PlushDaemon sinds 2019

Een uitgebreide analyse is hier te vinden.