Puerta trasera EdgeStepper
Un grupo de ciberdelincuentes vinculado a China, conocido como PlushDaemon, ha sido relacionado con una puerta trasera de red basada en Go recientemente descubierta, llamada EdgeStepper, una herramienta diseñada para facilitar operaciones de ataque de intermediario (AitM). Mediante la manipulación del tráfico de red a nivel de DNS, este grupo ha ampliado su capacidad para interceptar y redirigir flujos de datos para campañas de intrusión dirigidas en múltiples regiones.
Tabla de contenido
EdgeStepper: Redireccionando el tráfico a infraestructura maliciosa
EdgeStepper actúa como un mecanismo de secuestro de red. Una vez implementado, redirige todas las solicitudes DNS a un nodo externo malicioso. Esta manipulación desvía el tráfico destinado a la infraestructura legítima de actualización de software y lo reenvía a sistemas bajo el control del atacante.
Internamente, la herramienta opera mediante dos módulos principales. El Distribuidor resuelve la dirección del nodo DNS malicioso (p. ej., test.dsc.wcsset.com), mientras que el Controlador configura reglas de filtrado de paquetes mediante iptables para forzar la redirección. En algunos casos, el nodo DNS y el nodo secuestrador son el mismo, lo que provoca que el servicio DNS devuelva su propia dirección IP durante el proceso de suplantación.
Operaciones de larga duración y focalización global
Activo desde al menos 2018, PlushDaemon se ha centrado en organizaciones de Estados Unidos, Nueva Zelanda, Camboya, Hong Kong, Taiwán, Corea del Sur y China continental. Sus actividades se denunciaron formalmente por primera vez en enero de 2025 durante una investigación sobre una vulneración de la cadena de suministro del proveedor surcoreano de VPN IPany. Dicho incidente reveló cómo los atacantes desplegaron el implante multifuncional SlowStepper contra una empresa de semiconductores y una empresa de desarrollo de software no identificada.
Otras víctimas identificadas en investigaciones posteriores incluyen una universidad en Pekín, un fabricante de productos electrónicos en Taiwán, una empresa automotriz y una sucursal regional de una empresa manufacturera japonesa. Los analistas también registraron actividad adicional en Camboya en 2025, donde dos organizaciones más, una del sector automotriz y otra vinculada a un fabricante japonés, fueron blanco de SlowStepper.
Envenenamiento por AitM: Estrategia de entrada principal de PlushDaemon
El grupo se basa principalmente en el envenenamiento de AitM como técnica inicial de intrusión, una tendencia cada vez más común entre otros grupos APT vinculados a China, como LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood y FontGoblin. PlushDaemon inicia su cadena de ataque comprometiendo un dispositivo de red perimetral a través del cual la víctima probablemente se conecte. El compromiso suele deberse a vulnerabilidades sin parchear o a una autenticación débil.
Una vez que el dispositivo está bajo control, se instala EdgeStepper para manipular el tráfico DNS. El nodo DNS malicioso evalúa las solicitudes entrantes y, al detectar dominios vinculados a actualizaciones de software, responde con la dirección IP del nodo secuestrador. Esta configuración permite la entrega maliciosa de código malicioso sin levantar sospechas de inmediato.
Canales de actualización secuestrados y la cadena de despliegue
La campaña de PlushDaemon inspecciona específicamente los mecanismos de actualización utilizados por varias aplicaciones chinas, incluyendo Sogou Pinyin, para redirigir el tráfico legítimo de actualizaciones. Mediante esta manipulación, los atacantes distribuyen una DLL maliciosa llamada LittleDaemon (popup_4.2.0.2246.dll), que actúa como implante de primera fase. Si el sistema no aloja ya la puerta trasera SlowStepper, LittleDaemon contacta con el nodo del atacante y descarga un gestor de descargas llamado DaemonicLogistics.
La función de DaemonicLogistics es sencilla: descargar y ejecutar SlowStepper. Una vez activo, SlowStepper ofrece una amplia gama de funcionalidades, entre las que se incluyen la recopilación de detalles del sistema, la adquisición de archivos, la extracción de credenciales del navegador, la obtención de datos de múltiples aplicaciones de mensajería y su propia eliminación si fuera necesario.
Capacidades ampliadas mediante implantes coordinados
La funcionalidad combinada de EdgeStepper, LittleDaemon, DaemonicLogistics y SlowStepper dota a PlushDaemon de un conjunto de herramientas integral capaz de comprometer organizaciones en todo el mundo. Su uso coordinado proporciona al grupo acceso persistente, capacidad de robo de datos y una infraestructura flexible para operaciones transregionales a largo plazo.
Observaciones clave
Las operaciones de PlushDaemon revelan varios patrones recurrentes. El grupo se basa principalmente en el envenenamiento de servidores proxy (AIM) como método preferido para obtener acceso inicial, utilizándolo para interceptar y redirigir el tráfico en el perímetro de la red. Una vez comprometido el objetivo, el atacante depende de SlowStepper como su principal implante posterior a la intrusión, aprovechando sus amplias funciones de recopilación de datos y reconocimiento del sistema. La eficacia de este flujo de trabajo se ve reforzada por la capacidad de EdgeStepper para manipular las respuestas DNS, lo que permite a los atacantes desviar silenciosamente el tráfico legítimo de actualizaciones de software hacia su propia infraestructura.
