Source: WeLiveSecurity (ESET Research) — ESET publie une analyse technique d’« EdgeStepper », un implant réseau utilisé par le groupe APT PlushDaemon pour des attaques d’« adversary‑in‑the‑middle » (AiTM) via détournement DNS, permettant l’hijacking d’infrastructures de mises à jour et le déploiement du backdoor SlowStepper.

• Profil et ciblage: PlushDaemon, actif depuis au moins 2018 et aligné Chine, mène des opérations d’espionnage contre des cibles en Chine, Taïwan, Hong Kong, Cambodge, Corée du Sud, États‑Unis et Nouvelle‑Zélande. Le groupe utilise la porte dérobée SlowStepper et obtient l’accès initial en d détournant des mises à jour logicielles via un implant réseau (EdgeStepper). ESET a aussi observé l’exploitation de vulnérabilités de serveurs web et une attaque de chaîne d’approvisionnement en 2023. L’étude illustre notamment l’hijacking des mises à jour de Sogou Pinyin (d’autres logiciels populaires chinois sont affectés de manière similaire).

• EdgeStepper (implant réseau AiTM): Développé en Go (GoFrame), compilé ELF MIPS32, EdgeStepper (interne « dns_cheat_v2 ») est déployé sur des équipements réseau (ex. routeurs) compromis (faibles/connus identifiants admin ou vulnérabilités). Il charge sa config chiffrée /etc/bioset.conf (AES‑CBC, clé/IV « I Love Go Frame! ») contenant notamment toPort=1090 et host=ds20221202.dsc.wcsset[.]com. Le module « Ruler » insère des règles iptables pour rediriger l’UDP 53 vers 1090; le « Distributor » valide les paquets DNS et les relaye vers un nœud DNS malveillant, qui renvoie l’IP d’un hijacking node si la requête concerne une mise à jour. Certains serveurs cumulent rôles DNS et hijacking. 🧭

• Chaîne d’infection Windows: Le logiciel légitime contacte en HTTP le hijacking node (au lieu de l’infra officielle) et reçoit l’instruction de télécharger une DLL trompeuse (ex. http://ime.sogou.com/popup_4.2.0.2246.dll) qui est en réalité LittleDaemon. LittleDaemon vérifie si SlowStepper tourne déjà; sinon, il télécharge en HTTP DaemonicLogistics (ex. vers ime.sogou.com ou mobads.baidu.com ou 119.136.153.0 sur /update/updateInfo.bzp), le déchiffre (XOR) et l’exécute. DaemonicLogistics (code position‑indépendant) contacte le serveur qui encode des commandes dans les codes HTTP (200/205/207/208, 202–300 par défaut) pour déclencher le téléchargement/déploiement de SlowStepper; il peut vérifier la présence de 360tray.exe (suite 360). Il récupère des payloads (ex. /update/file6.bdat puis /update/file2.bdat) avec des valeurs magiques: PK… (écrit en %PROGRAMDATA%\Tencent\QQUpdateMgr\UpdateFiles\logo.gif) et GIF89a…. Le tout mascarade des fichiers (ZIP/GIF) et emploie du déchiffrement embarqué.

• Victimologie et infrastructure: ESET observe des compromises par mises à jour malveillantes depuis 2019, incluant des cibles: États‑Unis (2019), Taïwan (2021, 2024), Chine (2021–2024; une université à Pékin et un fabricant d’électronique taïwanais), Hong Kong (2023), Nouvelle‑Zélande (2023), Cambodge (2025; secteur automobile et filiale d’un industriel japonais). L’infrastructure comprend des nœuds DNS/hijacking et C2 sous wcsset[.]com.

• IoCs clés (sélection):

  • Domaines: ds20221202.dsc.wcsset[.]com; test.dsc.wcsset[.]com
  • IPs: 8.212.132[.]120; 47.242.198[.]250
  • Hôtes/URLs légitimes détournés: ime.sogou.com; mobads.baidu.com; chemins ex.: /update/updateInfo.bzp, /update/file6.bdat, /update/file2.bdat
  • Fichiers/artefacts: bioset (EdgeStepper); /etc/bioset.conf; popup_4.2.0.2246.dll (LittleDaemon); sogou_wubi_15.4.0.2508_0000.exe; %PROGRAMDATA%\Tencent\QQUpdateMgr\UpdateFiles\logo.gif
  • Réseau/ports: redirection UDP 53 → 1090 via iptables; protocole HTTP
  • Clé/IV de config: « I Love Go Frame! » (AES‑CBC)

• TTPs MITRE ATT&CK (extraits):

  • T1583.001/T1583.002/T1583.004 – Acquisition d’infrastructure (domaines, DNS, serveurs)
  • T1608.001 – Mise en scène des charges sur serveurs
  • T1659 – Injection de contenu (hijacking de mises à jour)
  • T1106 – API native (exécution de SlowStepper)
  • T1070.004 – Suppression de fichiers (auto‑suppression possible)
  • T1036.005/T1036.008 – Masquage (nom/emplacement légitimes, type de fichier)
  • T1027.009/T1027.013 – Obfuscation et chiffrement de composants
  • T1518.001 – Détection d’outils de sécurité (360tray.exe)
  • T1016 – Découverte configuration réseau (MAC)
  • T1057 – Découverte de processus
  • T1071.001/T1573 – C2 sur HTTP et canaux chiffrés
  • T1665 – Déguisement d’infrastructure via domaines légitimes

Type d’article: publication de recherche technique d’ESET visant à documenter les capacités d’EdgeStepper/LittleDaemon/DaemonicLogistics et fournir des IoCs/TTPs.

🧠 TTPs et IOCs détectés

TTP

[‘T1583.001’, ‘T1583.002’, ‘T1583.004’, ‘T1608.001’, ‘T1659’, ‘T1106’, ‘T1070.004’, ‘T1036.005’, ‘T1036.008’, ‘T1027.009’, ‘T1027.013’, ‘T1518.001’, ‘T1016’, ‘T1057’, ‘T1071.001’, ‘T1573’, ‘T1665’]

IOC

{‘domains’: [‘ds20221202.dsc.wcsset[.]com’, ’test.dsc.wcsset[.]com’], ‘ips’: [‘8.212.132[.]120’, ‘47.242.198[.]250’], ‘urls’: [‘ime.sogou.com’, ‘mobads.baidu.com’, ‘/update/updateInfo.bzp’, ‘/update/file6.bdat’, ‘/update/file2.bdat’], ‘files’: [‘bioset (EdgeStepper)’, ‘/etc/bioset.conf’, ‘popup_4.2.0.2246.dll (LittleDaemon)’, ‘sogou_wubi_15.4.0.2508_0000.exe’, ‘%PROGRAMDATA%\Tencent\QQUpdateMgr\UpdateFiles\logo.gif’]}

🔗 Source originale : https://www.welivesecurity.com/en/eset-research/plushdaemon-compromises-network-devices-for-adversary-in-the-middle-attacks/