PlushDaemon détourne le DNS des routeurs avec « EdgeStepper » pour hijacker des mises à jour logicielles
Source: WeLiveSecurity (ESET Research) — ESET publie une analyse technique d’« EdgeStepper », un implant réseau utilisé par le groupe APT PlushDaemon pour des attaques d’« adversary‑in‑the‑middle » (AiTM) via détournement DNS, permettant l’hijacking d’infrastructures de mises à jour et le déploiement du backdoor SlowStepper. • Profil et ciblage: PlushDaemon, actif depuis au moins 2018 et aligné Chine, mène des opérations d’espionnage contre des cibles en Chine, Taïwan, Hong Kong, Cambodge, Corée du Sud, États‑Unis et Nouvelle‑Zélande. Le groupe utilise la porte dérobée SlowStepper et obtient l’accès initial en d détournant des mises à jour logicielles via un implant réseau (EdgeStepper). ESET a aussi observé l’exploitation de vulnérabilités de serveurs web et une attaque de chaîne d’approvisionnement en 2023. L’étude illustre notamment l’hijacking des mises à jour de Sogou Pinyin (d’autres logiciels populaires chinois sont affectés de manière similaire). ...