- Les chercheurs d’ESET ont identifié un implant réseau inédit baptisé EdgeStepper, utilisé par le groupe APT PlushDaemon aligné sur la Chine, pour conduire des attaques de type man-in-the-middle (AitM).
- EdgeStepper détourne le trafic de mise à jour logicielle vers des serveurs contrôlés par les attaquants.
- Des logiciels chinois populaires ont été compromis, leurs mises à jour détournées afin d’installer des outils malveillants destinés au cyberespionnage.
- Les téléchargeurs LittleDaemon et DaemonicLogistics servent à déployer la porte dérobée phare du groupe, SlowStepper, sur des systèmes Windows.
iT-News (ESET Research) – Les chercheurs d’ESET ont identifié une campagne d’attaque de type « man-in-the-middle » menée par PlushDaemon, un groupe de menace aligné sur les intérêts de la Chine. Cette campagne repose sur un implant inédit baptisé EdgeStepper, conçu pour infecter des équipements réseau tels que des routeurs. Une fois déployé, EdgeStepper détourne toutes les requêtes DNS vers un serveur malveillant qui renvoie l’adresse d’un nœud chargé de manipuler les mises à jour logicielles. Ce mécanisme permet aux attaquants de rediriger le trafic de mise à jour vers une infrastructure sous leur contrôle afin d’installer les téléchargeurs LittleDaemon et DaemonicLogistics sur les systèmes ciblés, avant de déployer l’implant SlowStepper. Ce dernier est une boîte à outils complète, composée de dizaines de modules dédiés au cyberespionnage. Grâce à ces implants, PlushDaemon est en mesure de compromettre des cibles à l’échelle mondiale.
Actif depuis au moins 2019, PlushDaemon a mené des attaques contre des organisations situées aux États-Unis, en Nouvelle-Zélande, au Cambodge, à Hong Kong, à Taïwan et même en Chine continentale. Parmi les victimes identifiées figurent une université pékinoise, un fabricant taïwanais d’électronique, une entreprise du secteur automobile et une filiale japonaise spécialisée dans la production industrielle.
Dans la campagne analysée, PlushDaemon commence par prendre le contrôle d’un équipement réseau auquel la cible est susceptible de se connecter. Cette compromission s’effectue probablement via l’exploitation d’une vulnérabilité logicielle ou par l’utilisation d’identifiants administratifs faibles ou connus. Une fois l’accès obtenu, les attaquants déploient EdgeStepper, ainsi que d’autres outils si nécessaire.
« EdgeStepper redirige ensuite les requêtes DNS vers un serveur contrôlé par les attaquants. Ce serveur vérifie si le domaine demandé est lié à des mises à jour logicielles et, le cas échéant, renvoie l’adresse IP d’un nœud alternatif », explique Facundo Muñoz, chercheur chez ESET qui a découvert et analysé la campagne. « Dans certains cas, le même serveur joue à la fois le rôle de nœud DNS et de nœud alternatif, répondant directement avec sa propre adresse IP. Plusieurs logiciels chinois populaires ont vu leurs mises à jour interceptées par PlushDaemon via EdgeStepper », ajoute-t-il.
PlushDaemon est un groupe d’espionnage aligné sur la Chine actif depuis au moins 2018, ciblant des individus et des organisations en Asie-Pacifique et aux États-Unis. Il s’appuie notamment sur une porte dérobée personnalisée suivie par ESET sous le nom de SlowStepper. Par le passé, ESET a observé des compromissions via des vulnérabilités sur des serveurs web, et en 2023, le groupe a orchestré une attaque sur la chaîne d’approvisionnement.
Pour une analyse complète, consultez l’article ESET Research : « PlushDaemon compromet les dispositifs réseau pour des attaques adversaires-in-the-milieu » sur WeLiveSecurity.com.
Répartition géographique des victimes de PlushDaemon depuis 2019.
À propos d’ESET
ESET® entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
