EdgeStepper Hintertür
Ein mit China verbündeter Bedrohungsakteur namens PlushDaemon wurde mit einer neu entdeckten, auf Go basierenden Netzwerk-Backdoor namens EdgeStepper in Verbindung gebracht. Dieses Tool wurde entwickelt, um Adversary-in-the-Middle-Angriffe (AitM) zu unterstützen. Durch die Manipulation des Netzwerkverkehrs auf DNS-Ebene hat diese Gruppe ihre Fähigkeit erweitert, Datenflüsse abzufangen und umzuleiten, um gezielte Angriffe in mehreren Regionen durchzuführen.
Inhaltsverzeichnis
EdgeStepper: Umleitung des Datenverkehrs auf schädliche Infrastruktur
EdgeStepper fungiert als Mechanismus zur Netzwerkübernahme. Nach der Installation leitet er jede DNS-Anfrage an einen externen, bösartigen Knoten um. Diese Manipulation lenkt den für die legitime Software-Update-Infrastruktur bestimmten Datenverkehr um und leitet ihn stattdessen an Systeme unter der Kontrolle des Angreifers weiter.
Intern arbeitet das Tool mit zwei Hauptmodulen. Der Distributor löst die Adresse des manipulierten DNS-Knotens auf (z. B. test.dsc.wcsset.com), während der Ruler über iptables Paketfilterregeln konfiguriert, um die Umleitung zu erzwingen. In manchen Fällen sind DNS-Knoten und Hijacking-Knoten identisch, sodass der DNS-Dienst während des Spoofing-Vorgangs seine eigene IP-Adresse zurückgibt.
Langfristige Operationen und globale Ausrichtung
PlushDaemon ist mindestens seit 2018 aktiv und konzentriert sich auf Organisationen in den USA, Neuseeland, Kambodscha, Hongkong, Taiwan, Südkorea und Festlandchina. Die Aktivitäten des Unternehmens wurden erstmals im Januar 2025 im Rahmen einer Untersuchung zu einem Lieferkettenangriff auf den südkoreanischen VPN-Anbieter IPany offiziell gemeldet. Dieser Vorfall enthüllte, wie die Angreifer das multifunktionale Implantat SlowStepper sowohl gegen ein Halbleiterunternehmen als auch gegen ein nicht identifiziertes Softwareentwicklungsunternehmen einsetzten.
Zu den weiteren Opfern, die in späteren Untersuchungen identifiziert wurden, gehören eine Universität in Peking, ein Elektronikhersteller in Taiwan, ein Automobilunternehmen und eine regionale Niederlassung eines japanischen Produktionsunternehmens. Analysten verzeichneten zudem weitere Aktivitäten in Kambodscha im Jahr 2025, wo zwei weitere Organisationen – eine aus dem Automobilsektor und eine weitere mit Verbindungen zu einem japanischen Hersteller – mit SlowStepper angegriffen wurden.
AitM-Vergiftung: PlushDaemons primäre Einstiegsstrategie
Die Gruppe setzt als erste Angriffsmethode vorwiegend auf AitM-Poisoning – ein Vorgehen, das zunehmend auch bei anderen chinesischen APT-Clustern wie LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood und FontGoblin zu beobachten ist. PlushDaemon initiiert seine Angriffskette, indem es ein Netzwerkgerät kompromittiert, über das sich das Opfer wahrscheinlich verbindet. Die Kompromittierung beruht typischerweise auf ungepatchten Sicherheitslücken oder schwacher Authentifizierung.
Sobald das Gerät unter Kontrolle ist, wird EdgeStepper installiert, um den DNS-Verkehr zu manipulieren. Der bösartige DNS-Knoten wertet eingehende Anfragen aus und antwortet bei Erkennung von Domains, die mit Software-Updates verknüpft sind, mit der IP-Adresse des manipulierten Knotens. Diese Konfiguration ermöglicht die unbemerkte Auslieferung von Schadsoftware.
Gekaperte Updatekanäle und die Bereitstellungskette
Die Kampagne von PlushDaemon untersucht gezielt die Update-Mechanismen verschiedener chinesischer Anwendungen, darunter Sogou Pinyin, um legitimen Update-Verkehr umzuleiten. Durch diese Manipulation verbreiten die Angreifer eine schädliche DLL namens LittleDaemon (popup_4.2.0.2246.dll), die als erste Stufe der Schadsoftware-Einschleusung dient. Falls das System noch nicht die Backdoor SlowStepper enthält, kontaktiert LittleDaemon den Angreiferknoten und lädt den Downloader DaemonicLogistics herunter.
Die Rolle von DaemonicLogistics ist einfach: SlowStepper herunterladen und ausführen. Nach der Aktivierung bietet SlowStepper eine Vielzahl von Funktionen, darunter das Sammeln von Systemdetails, das Abrufen von Dateien, das Extrahieren von Browser-Anmeldeinformationen, das Abrufen von Daten aus verschiedenen Messaging-Anwendungen und die Selbstentfernung bei Bedarf.
Erweiterte Fähigkeiten durch koordinierte Implantate
Die kombinierte Funktionalität von EdgeStepper, LittleDaemon, DaemonicLogistics und SlowStepper stattet PlushDaemon mit einem umfassenden Werkzeugkasten aus, der zur Kompromittierung von Organisationen weltweit geeignet ist. Deren koordinierter Einsatz ermöglicht der Gruppe dauerhaften Zugriff, Datendiebstahl und eine flexible Infrastruktur für langfristige, regionsübergreifende Operationen.
Wichtigste Beobachtungen
Die Operationen von PlushDaemon weisen mehrere wiederkehrende Muster auf. Die Gruppe setzt bevorzugt auf Adversary-in-the-Middle-Spoofing, um sich zunächst Zugang zu verschaffen und den Netzwerkverkehr am Netzwerkrand abzufangen und umzuleiten. Sobald ein Zielsystem kompromittiert ist, nutzt der Angreifer SlowStepper als zentrales Werkzeug nach dem Eindringen und profitiert dabei von dessen umfangreichen Datenerfassungs- und Systemaufklärungsfunktionen. Die Effektivität dieses Vorgehens wird durch EdgeSteppers Fähigkeit zur Manipulation von DNS-Antworten verstärkt, wodurch die Angreifer legitimen Software-Update-Verkehr unbemerkt auf ihre eigene Infrastruktur umleiten können.
