ESET meldt dat de aan China gelieerde groep PlushDaemon een nieuwe techniek inzet om netwerkapparaten te besmetten. De groep gebruikt het implantaat EdgeStepper om updateverkeer om te leiden en zo spionagesoftware te installeren.
ESET-onderzoekers beschrijven een methode waarbij PlushDaemon netwerkapparaten zoals routers binnendringt. De groep gebruikt hiervoor vermoedelijk kwetsbaarheden in apparatuur of standaardwachtwoorden. Na toegang installeren de aanvallers het implantaat EdgeStepper, dat dns-verkeer manipuleert. De malware stuurt verzoeken voor software-updates door naar een kwaadaardige server die bepaalt of een opgevraagd domein hoort bij updateprocessen. Als dat zo is, wordt het verkeer omgeleid naar een vervangende server van de aanvallers. Daar wordt de legitieme update vervangen door schadelijke software.
Volgens ESET zijn meerdere populaire Chinese softwarepakketten op deze manier misbruikt. PlushDaemon maakt daarbij gebruik van de downloaders LittleDaemon en DaemonicLogistics, die uiteindelijk de backdoor SlowStepper op Windows-systemen installeren. SlowStepper bestaat uit tientallen componenten en functioneert als toegangspunt voor spionageactiviteiten. Door deze werkwijze kan de groep langdurige toegang krijgen tot netwerken van slachtoffers.
De groep is volgens ESET actief sinds 2018 en heeft sinds 2019 aanvallen uitgevoerd in onder andere de Verenigde Staten, Nieuw-Zeeland, Cambodja, Hongkong en Taiwan. Ook in China zelf zijn incidenten vastgesteld. Slachtoffers waren onder meer een universiteit in Beijing, een Taiwanese elektronicafabrikant, een bedrijf in de auto-industrie en een Japanse producent.
ESET plaatst de nieuwe campagne in een breder patroon. PlushDaemon staat bekend om het gebruik van eigen tools en verkreeg eerder toegang via kwetsbaarheden in webservers. In 2023 kwam daar een supply-chain-aanval bij. Het nu beschreven misbruik van updateverkeer laat volgens het bedrijf zien dat de groep haar methoden uitbreidt met mechanismen die gericht zijn op langdurige en gerichte spionage.
