PlushDaemon EdgeStepper
Az ESET kutatói felfedeztek egy, a PlushDaemon néven ismert, Kínához köthető kiberbűnöző csoport által használt, eddig dokumentálatlan hálózati implantot, amelyet EdgeStepper névre kereszteltek. Ez az eszköz lehetővé teszi a csoport számára, hogy DNS-lekérdezéseket irányítson át egy káros, támadó által irányított DNS-szerverre, így a legitim frissítési forgalmat is átirányíthatják a saját infrastruktúrájukra. Ezután a LittleDaemon és DaemonicLogistics eszközök segítségével telepítik a SlowStepper nevű kémprogramot a célgépekre, így globális kémkedési lehetőséghez jutnak.
A támadások során a csoport népszerű kínai szoftverfrissítéseket csalt el, így a célszemélyek gépeire jutottak be. Az áldozatok között található egyetemi intézmények, elektronikai gyártók, autóipari cégek és más iparágak képviselői Kínában, Tajvanon, Kambodzsában és Japánban is. A kutatók szerint a PlushDaemon csoport legalább 2019 óta aktív, és folyamatosan fejleszti eszközeit, hogy globális célpontokat érjen el.
A támadások lényege, hogy a csoport hálózati eszközöket kompromittál, amelyekhez a célszemélyek csatlakoznak, majd a frissítési forgalmat átirányítják, így a kémprogramokat telepíthetik a gépekre. Ez a módszer különösen veszélyes, mert nehezen észrevehető, és a támadók hosszú ideig tartó hozzáférést biztosíthatnak maguknak a célhálózatokhoz.
