Porte dérobée EdgeStepper
Un groupe de cybercriminels lié à la Chine et connu sous le nom de PlushDaemon a été associé à une nouvelle porte dérobée réseau basée sur le langage Go, nommée EdgeStepper. Cet outil est conçu pour faciliter les opérations d'attaque par l'intermédiaire d'un adversaire (AitM). En manipulant le trafic réseau au niveau DNS, ce groupe a étendu sa capacité à intercepter et à rediriger les flux de données pour des campagnes d'intrusion ciblées dans plusieurs régions.
Table des matières
EdgeStepper : Redirection du trafic vers une infrastructure malveillante
EdgeStepper agit comme un mécanisme de détournement de réseau. Une fois déployé, il redirige toutes les requêtes DNS vers un nœud malveillant externe. Cette manipulation détourne le trafic destiné à l'infrastructure légitime de mise à jour logicielle et le dirige vers des systèmes contrôlés par l'attaquant.
En interne, l'outil fonctionne grâce à deux modules principaux. Le Distributeur résout l'adresse du nœud DNS malveillant (par exemple, test.dsc.wcsset.com), tandis que le Contrôleur configure des règles de filtrage de paquets via iptables pour imposer la redirection. Dans certains cas, le nœud DNS et le nœud détourné ne font qu'un, ce qui amène le service DNS à renvoyer sa propre adresse IP pendant l'usurpation.
Opérations de longue durée et ciblage global
Actif depuis au moins 2018, PlushDaemon a ciblé des organisations aux États-Unis, en Nouvelle-Zélande, au Cambodge, à Hong Kong, à Taïwan, en Corée du Sud et en Chine continentale. Ses activités ont été officiellement signalées pour la première fois en janvier 2025 lors d'une enquête sur une faille de sécurité dans la chaîne d'approvisionnement du fournisseur de VPN sud-coréen IPany. Cet incident a révélé comment les attaquants avaient déployé le logiciel malveillant multifonctionnel SlowStepper contre une entreprise de semi-conducteurs et une société de développement logiciel non identifiée.
D'autres victimes, identifiées lors de recherches ultérieures, comprennent une université de Pékin, un fabricant d'électronique taïwanais, une entreprise automobile et une filiale régionale d'une entreprise manufacturière japonaise. Les analystes ont également constaté une activité accrue au Cambodge en 2025, où deux autres organisations, l'une du secteur automobile et l'autre liée à un fabricant japonais, ont été ciblées par SlowStepper.
Empoisonnement AitM : Stratégie d’entrée principale de PlushDaemon
Le groupe utilise fréquemment l'empoisonnement des distributeurs automatiques de billets (AitM) comme technique d'intrusion initiale, une tendance de plus en plus répandue parmi d'autres groupes APT liés à la Chine, tels que LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood et FontGoblin. PlushDaemon initie sa chaîne d'attaque en compromettant un périphérique réseau périphérique auquel la victime est susceptible de se connecter. Cette compromission résulte généralement de vulnérabilités non corrigées ou d'une authentification faible.
Une fois l'appareil sous contrôle, EdgeStepper est installé pour manipuler le trafic DNS. Le nœud DNS malveillant analyse les requêtes entrantes et, lorsqu'il détecte des domaines liés aux mises à jour logicielles, répond avec l'adresse IP du nœud pirate. Cette configuration permet la diffusion de charges utiles malveillantes sans éveiller immédiatement les soupçons.
Canaux de mise à jour détournés et chaîne de déploiement
La campagne de PlushDaemon inspecte spécifiquement les mécanismes de mise à jour utilisés par plusieurs applications chinoises, dont Sogou Pinyin, afin de rediriger le trafic de mise à jour légitime. Grâce à cette manipulation, les attaquants distribuent une DLL malveillante nommée LittleDaemon (popup_4.2.0.2246.dll), qui sert d'implant de première étape. Si le système n'héberge pas déjà la porte dérobée SlowStepper, LittleDaemon contacte le nœud attaquant et récupère un programme de téléchargement appelé DaemonicLogistics.
Le rôle de DaemonicLogistics est simple : télécharger et exécuter SlowStepper. Une fois activé, SlowStepper offre un large éventail de fonctionnalités, notamment la collecte d'informations système, l'acquisition de fichiers, l'extraction d'identifiants de navigateur, la récupération de données depuis plusieurs applications de messagerie et sa propre suppression si nécessaire.
Capacités accrues grâce à des implants coordonnés
La combinaison des fonctionnalités d'EdgeStepper, LittleDaemon, DaemonicLogistics et SlowStepper confère à PlushDaemon un ensemble d'outils complets capable de compromettre des organisations à l'échelle mondiale. Leur utilisation coordonnée permet au groupe d'obtenir un accès permanent, des capacités de vol de données et une infrastructure flexible pour des opérations interrégionales de longue durée.
Observations clés
Les opérations de PlushDaemon révèlent plusieurs constantes. Le groupe privilégie l'empoisonnement du réseau par l'adversaire comme méthode d'infiltration initiale, l'utilisant pour intercepter et rediriger le trafic en périphérie du réseau. Une fois la cible compromise, l'attaquant s'appuie sur SlowStepper comme principal outil post-intrusion, tirant parti de ses nombreuses fonctionnalités de collecte de données et de reconnaissance système. L'efficacité de ce processus est renforcée par la capacité d'EdgeStepper à manipuler les réponses DNS, permettant ainsi aux attaquants de détourner discrètement le trafic légitime de mises à jour logicielles vers leur propre infrastructure.
