PlushDaemon détourne le DNS des routeurs avec « EdgeStepper » pour hijacker des mises à jour logicielles
Source: WeLiveSecurity (ESET Research) â ESET publie une analyse technique dâ« EdgeStepper », un implant rĂ©seau utilisĂ© par le groupe APT PlushDaemon pour des attaques dâ« adversaryâinâtheâmiddle » (AiTM) via dĂ©tournement DNS, permettant lâhijacking dâinfrastructures de mises Ă jour et le dĂ©ploiement du backdoor SlowStepper. âą Profil et ciblage: PlushDaemon, actif depuis au moins 2018 et alignĂ© Chine, mĂšne des opĂ©rations dâespionnage contre des cibles en Chine, TaĂŻwan, Hong Kong, Cambodge, CorĂ©e du Sud, ĂtatsâUnis et NouvelleâZĂ©lande. Le groupe utilise la porte dĂ©robĂ©e SlowStepper et obtient lâaccĂšs initial en d dĂ©tournant des mises Ă jour logicielles via un implant rĂ©seau (EdgeStepper). ESET a aussi observĂ© lâexploitation de vulnĂ©rabilitĂ©s de serveurs web et une attaque de chaĂźne dâapprovisionnement en 2023. LâĂ©tude illustre notamment lâhijacking des mises Ă jour de Sogou Pinyin (dâautres logiciels populaires chinois sont affectĂ©s de maniĂšre similaire). ...