Investigadores de ESET han descubierto una nueva herramienta utilizada por el grupo de ciberespionaje PlushDaemon para llevar a cabo ataques conocidos como «adversary-in-the-middle». Esta técnica se basa en un implante de red previamente no documentado, denominado EdgeStepper, que redirige todas las consultas DNS a un nodo externo malicioso. Como resultado, el tráfico legítimo, destinado a infraestructuras de actualizaciones de software, es desviado hacia servidores controlados por los atacantes.
ESET ha realizado un exhaustivo análisis de EdgeStepper e identificado a otros dos complementos, LittleDaemon y DaemonicLogistics, que permiten la implementación de un backdoor característico del grupo, conocido como SlowStepper, en máquinas con sistemas operativos Windows. PlushDaemon, alineado con intereses en China y activo desde al menos 2018, se ha enfocado en operaciones de espionaje que afectan a individuos y organizaciones en China, Taiwán, Hong Kong, Camboya, Corea del Sur, Estados Unidos y Nueva Zelanda.
El análisis más reciente revela que en 2024, durante la investigación de las actividades de PlushDaemon —que incluyen un ataque de cadena de suministro a un servicio VPN surcoreano— se identificó un archivo ELF en VirusTotal que contenía subdominios de la infraestructura de PlushDaemon. Este archivo, llamado «bioset», se encontraba en un servidor comprometido por múltiples actores de amenazas.
EdgeStepper, desarrollado en Go y apuntado a procesadores MIPS32, obtiene y descifra datos de configuración que le permiten redirigir el tráfico DNS. Al comprometer dispositivos de red, como routers, los atacantes pueden redirigir consultas DNS a un nodo malicioso, que verifica si el dominio solicitado está relacionado con actualizaciones de software. Si es así, responde con la dirección IP del nodo de secuestro, permitiendo el desvío de comunicaciones hacia sus propios servidores maliciosos.
Los ataques de PlushDaemon han afectado a diversas regiones, siendo los Estados Unidos, Taiwán y China algunas de las más recientes. A través de este método de secuestrar actualizaciones, el grupo ha podido introducir malware con gran efectividad. Las víctimas han sido principalmente organizaciones de sectores estratégicos, lo que pone de relieve la naturaleza estratégica de estos ataques.
El proceso suele comenzar con la violación de un dispositivo de red para luego implementar EdgeStepper, que actúa como un proxy DNS. Recientemente, también se han documentado diferentes etapas en la ejecución de malware como LittleDaemon y DaemonicLogistics, que permiten implantaciones adicionales.
Hasta el momento, ESET continúa monitoreando y analizando la actividad de PlushDaemon y sus herramientas asociadas, conscientes del impacto que pueden tener en la infraestructura digital a nivel global.
Fuente: WeLiveSecurity by eSet.
