Группа хакеров PlushDaemon, действующая с 2019 года, использует сложный модульный бэкдор для сбора данных из зараженных систем в Южной Корее.

Недавно обнаруженная китайская группа киберпреступников атаковала южнокорейского разработчика VPN-сервисов, организовав атаку на цепочку поставок с целью развертывания специального бэкдора для сбора данных в целях кибершпионажа.

Группа, которую исследователи из ESET Research, обнаружившие ее, окрестили PlushDaemon, обычно стремится перехватывать легитимные обновления китайских приложений в своих вредоносных операциях «путем перенаправления трафика на контролируемые злоумышленниками серверы», согласно сообщению в блоге исследователя ESET Факундо Муньоса, опубликованному 22 января. «Кроме того, мы наблюдали, как группа получает доступ через уязвимости в легитимных веб-серверах», — написал он.

Однако исследователи также обнаружили, что в мае 2024 года группа внедрила вредоносный код в установщик NSIS для Windows-версии программного обеспечения VPN южнокорейской компании IPany, что представляет собой отход от ее типичных операций, заявили они. ESET уведомила IPany, и вредоносный установщик был удален с веб-сайта компании.

PlushDaemon активен по крайней мере с 2019 года, занимаясь кибершпионскими операциями против отдельных лиц и организаций в материковом Китае, Тайване, Гонконге, Южной Корее, США и Новой Зеландии. По данным ESET, группа является эксклюзивным пользователем нескольких типов вредоносного ПО в своей вредоносной деятельности, в частности, специального модульного бэкдора для сбора различных данных с зараженных машин под названием SlowStepper для Windows.

Нетипичная атака на цепочку поставок

Первые признаки атаки на цепочку поставок появились в мае 2024 года, когда исследователи ESET заметили вредоносный код в установщике NSIS для Windows, который пользователи из Южной Кореи загрузили с сайта IPany.

«Похоже, жертвы вручную загрузили ZIP-архив, содержащий вредоносный установщик NSIS, с URL https://ipany[.]kr/download/IPanyVPNsetup.zip», — написал Муньос. Однако исследователи не обнаружили на странице загрузки подозрительного кода «для создания целевых загрузок, например, путем геозонирования определенных целевых регионов или диапазонов IP». Это привело их к мысли, что «любой, кто использует IPany VPN, мог быть допустимой целью».

Несколько пользователей попытались установить троянизированное программное обеспечение в сети полупроводниковой компании и неустановленной компании по разработке программного обеспечения в Южной Корее. Дальнейшие исследования выявили еще более старые случаи заражения через кампанию, причем два самых старых были получены от жертвы в Японии в ноябре 2023 года и жертвы в Китае в декабре 2023 года, сообщили исследователи.

Бэкдор SlowStepper

Полезная нагрузка в атаке на цепочку поставок — собственный бэкдор PlushDaemon SlowStepper, который имеет более 30 модулей. Однако группа использовала «облегченную» версию бэкдора в атаке IPany, которая содержит меньше функций, чем другие предыдущие и более новые версии, заявили исследователи.

Бэкдор использует многоступенчатый протокол управления и контроля (C2) с использованием DNS и известен своей способностью загружать и выполнять десятки дополнительных модулей Python с возможностями шпионажа.

«Как полная, так и облегченная версии используют ряд инструментов, написанных на Python и Go, которые включают возможности для обширного сбора данных и шпионажа посредством записи аудио и видео», — написал Муньос.

Исследователи обнаружили, что инструменты PlushDaemon хранятся в удаленном репозитории кода, размещенном на китайской платформе GitCode, под учетной записью LetMeGo22. На момент написания статьи профиль был закрытым.

Появилась еще одна китайская APT-атака

У Китая уже есть множество известных и активных APT, которые регулярно и настойчиво занимаются кибершпионажем против США и их союзников. Одной из самых заметных операций последнего времени стало проникновение в сети широкополосного провайдера США китайской APT Salt Typhoon ; однако расследование этого инцидента было серьезно подорвано 21 января, когда президент Трамп на второй день своего возвращения в офис распустил совет по кибербезопасности, который занимался этим делом.

Однако, по словам Муньоса, с выходом из тени такого нового, изощренного игрока, как PlushDaemon, организациям следует быть более бдительными, чем когда-либо, в отношении вредоносной киберактивности из Китая.

«Многочисленные компоненты набора инструментов PlushDaemon и его богатая история версий показывают, что эта связанная с Китаем APT-группа, хотя ранее и не была известна, усердно работала над разработкой широкого спектра инструментов, что делает ее серьезной угрозой, за которой следует следить», — написал он.

С этой целью ESET включила ссылку на свой репозиторий GitHub , содержащий полный список индикаторов компрометации (IoC) и образцы активности PlushDaemon.