Chinesische Hackergruppe manipuliert Netzwerkgeräte für Spionageangriffe
ESET-Forscher haben ein Schadprogramm der APT-Gruppe PlushDaemon analysiert, das Software-Updates umleitet und Malware einschleust. Die Angreifer kompromittieren Router und andere Netzwerkgeräte, um DNS-Anfragen zu manipulieren.
Sicherheitsforscher von ESET haben ein bislang undokumentiertes Werkzeug der chinesischen Hackergruppe PlushDaemon untersucht. Das Netzwerk-Schadprogramm mit dem Namen EdgeStepper leitet DNS-Anfragen auf manipulierte Server um und ermöglicht sogenannte Adversary-in-the-Middle-Angriffe. Dabei werden legitime Software-Updates durch schädliche Versionen ersetzt, die Spionage-Software auf den Zielsystemen installieren.
Die Analyse zeigt, wie die Angreifer zunächst Netzwerkgeräte wie Router kompromittieren und darüber den gesamten Datenverkehr eines Netzwerks kontrollieren. Die Analysten dokumentierten zudem zwei weitere Komponenten der Angriffskette: LittleDaemon und DaemonicLogistics. Diese Downloader installieren schließlich die Hauptschadsoftware SlowStepper auf Windows-Rechnern.
Spionagekampagne mit globaler Reichweite
PlushDaemon ist seit mindestens 2018 aktiv und richtet sich gegen Ziele in mehreren Ländern. Die Gruppe führt Spionageoperationen gegen Einzelpersonen und Organisationen in China, Taiwan, Hongkong, Kambodscha, Südkorea, den USA und Neuseeland durch. Die Telemetriedaten von ESET zeigen Kompromittierungen in den USA (2019), Taiwan (2021, 2024), China (2021-2024) – darunter eine Universität in Peking und ein taiwanesisches Elektronikunternehmen –, Hongkong (2023), Neuseeland (2023) sowie Kambodscha (2025). In Kambodscha waren unter anderem ein Unternehmen aus der Automobilbranche und eine Niederlassung eines japanischen Fertigungsunternehmens betroffen.
Die Angreifer nutzen hauptsächlich das Kapern legitimer Software-Updates als Einstiegsmethode. Zusätzlich verschafften sie sich Zugang über Schwachstellen in Webservern. 2023 führte die Gruppe eine Supply-Chain-Attacke auf einen südkoreanischen VPN-Dienst durch.
So funktioniert die Angriffskette
PlushDaemon kompromittiert zunächst ein Netzwerkgerät, mit dem sich die Zielpersonen verbinden. Die Forscher vermuten, dass dies durch das Ausnutzen von Softwareschwachstellen oder durch schwache beziehungsweise bekannte Standard-Administratorpasswörter geschieht. Anschließend installieren die Angreifer EdgeStepper und möglicherweise weitere Werkzeuge auf dem Gerät.
EdgeStepper leitet DNS-Anfragen auf einen manipulierten DNS-Server um. Dieser prüft, ob die angefragte Domain mit Software-Updates zusammenhängt – etwa info.pinyin.sogou.com von der chinesischen Eingabemethode Sogou Pinyin. Ist dies der Fall, antwortet der Server mit der IP-Adresse eines Hijacking-Knotens. In manchen Fällen fungiert derselbe Server sowohl als DNS- als auch als Hijacking-Knoten.
Die Update-Software kommuniziert dann über HTTP mit dem Hijacking-Knoten statt mit der legitimen Infrastruktur des Softwareherstellers. Der Knoten antwortet mit Anweisungen zum Download einer manipulierten Datei. Die Software sendet eine HTTP-GET-Anfrage an die legitime Domain, doch die Kommunikation wird erneut zum Hijacking-Knoten umgeleitet. Dieser liefert die schädliche Datei aus – im analysierten Fall die DLL-Datei LittleDaemon.
Technische Details zu EdgeStepper
Die Binärdatei trägt den ursprünglichen Namen dns_cheat_v2. EdgeStepper und wurde in der Programmiersprache Go mit dem Open-Source-Framework GoFrame entwickelt und als ELF-Datei für MIPS32-Prozessoren kompiliert. Die ESET-Anylsten gehen davon aus, dass EdgeStepper nicht die einzige Komponente auf dem kompromittierten Netzwerkgerät ist, haben aber keine weiteren Samples aus der Kompromisskette.
Das Schadprogramm liest und entschlüsselt zunächst Konfigurationsdaten aus der Datei /etc/bioset.conf. Für die Entschlüsselung nutzt es AES CBC mit dem Schlüssel und Initialisierungsvektor „I Love Go Frame!“ – dem Standard-IV der GoFrame-Bibliothek. Die entschlüsselte Konfiguration enthält den Parameter toPort, der den Port angibt, auf dem EdgeStepper lauscht (im analysierten Fall Port 1090), sowie host, das die Domain spezifiziert, über die die IP-Adresse des DNS-Knotens aufgelöst wird (ds20221202.dsc.wcsset[.]com).
Nach dem Laden der Konfiguration initialisiert EdgeStepper zwei Systeme: den Distributor und den Ruler. Der Distributor löst die IP-Adressen der konfigurierten Domain auf und aktiviert das Ruler-System. Über dieses leitet er den Datenverkehr auf Port 53 zu Port 1090 um und etabliert sich als DNS-Proxy. Empfangene DNS-Nachrichten werden auf RFC-Konformität geprüft und dann an den manipulierten DNS-Knoten weitergeleitet. Die Antwort des Knotens wird schließlich an das Gerät zurückgesendet.
Das Ruler-System nutzt den iptables-Befehl, um neue Regeln zu setzen und beim Abschluss des Angriffs wieder zu entfernen. Es leitet zunächst den gesamten UDP-Verkehr auf Port 53 zum konfigurierten Port um und akzeptiert Pakete auf diesem Port. Beim Beenden entfernt es die zuvor gesetzten Regeln wieder.
LittleDaemon und DaemonicLogistics als Downloader
LittleDaemon ist die erste Stufe, die über gekaperte Updates auf dem Rechner des Opfers installiert wird. ESET beobachtete sowohl DLL- als auch ausführbare Versionen, beide als 32-Bit-PE-Dateien. Die Hauptaufgabe von LittleDaemon besteht darin, mit dem Hijacking-Knoten zu kommunizieren und den Downloader DaemonicLogistics zu beziehen. LittleDaemon richtet keine Persistenz ein.
Zunächst prüft die Komponente, ob die SlowStepper-Backdoor bereits auf dem System läuft. Falls nicht, lädt LittleDaemon DaemonicLogistics durch eine HTTP-GET-Anfrage an einen Server herunter – typischerweise den Hijacking-Knoten. Die Datei wird mit XOR-Operationen entschlüsselt und dann ausgeführt. Die Anfrage kann an zwei legitime Domains (ime.sogou.com oder mobads.baidu.com) oder die IP-Adresse 119.136.153.0 gesendet werden. Der Ressourcenpfad lautet für alle drei /update/updateInfo.bzp. Bei den legitimen Domains wird erwartet, dass EdgeStepper den Datenverkehr zum Hijacking-Knoten umleitet.
DaemonicLogistics ist ein positionsunabhängiger Code, den LittleDaemon im Speicher herunterlädt und ausführt. Seine Hauptaufgabe besteht darin, die SlowStepper-Backdoor herunterzuladen und zu installieren. Wenn DaemonicLogistics eine Anfrage an den Server sendet, antwortet dieser mit einem HTTP-Statuscode, den DaemonicLogistics als Befehl interpretiert.
Der Statuscode 200 (sowie 205, 206 und 208) veranlasst den Download von SlowStepper ohne Prüfung auf das Vorhandensein des Prozesses 360tray.exe – einer Komponente der Antimalware-Lösung 360 Total Security. Code 203 löst den Download einer Datei namens plugin.exe aus, die dann ausgeführt wird. Bei Code 207 prüft DaemonicLogistics auf 360tray.exe und lädt SlowStepper nur herunter, wenn der Prozess nicht vorhanden ist.
Die initiale HTTP-GET-Anfrage wird an ime.sogou.com/update/latest/new_version gesendet und enthält Parameter zur Betriebssystemversion sowie eine MAC-Adresse als Identifikator. Die Angreifer nutzen diese Informationen vermutlich zur Identifikation und Steuerung der Ziele.
Verschleierung durch getarnte Dateiformate
Die Payload-Daten in den Serverantworten beginnen mit spezifischen Magic Values. Die erste Antwort enthält den Hexadezimalwert 50 4B 03 04 0A 1B 2C 3D (PK\3\4\A\1B\2C\3C). DaemonicLogistics prüft aktiv, ob die ersten acht empfangenen Bytes diesem Wert entsprechen. Falls ja, schreibt es die Daten in %PROGRAMDATA%\Tencent\QQUpdateMgr\UpdateFiles\logo.gif.
Die zweite Antwort beginnt mit dem Magic Value 47 49 46 38 39 61 10 10 (GIF89a\10\10). DaemonicLogistics prüft diesen Wert nicht explizit. Wenn die Prüfung auf den vorherigen Magic Value fehlschlägt, verarbeitet es die Daten und entschlüsselt sie mit XOR-Operationen. Die Daten enthalten Dateien, die an in den entschlüsselten Daten spezifizierten Pfaden auf die Festplatte geschrieben werden.
Die Forscher von ESET stellen in ihrem Bericht fest, dass EdgeStepper PlushDaemons Fähigkeiten für Adversary-in-the-Middle-Angriffe ermöglicht, um Updates von Rechnern in einem Zielnetzwerk zu kapern. Zusammen mit LittleDaemon und DaemonicLogistics installieren diese Werkzeuge die SlowStepper-Backdoor auf Windows-Rechnern. Diese Schadprogramme verschaffen PlushDaemon die Fähigkeit, Ziele weltweit zu kompromittieren.
ESET hat eine umfassende Liste von Kompromittierungsindikatoren und Samples auf GitHub veröffentlicht: https://www.welivesecurity.com/en/eset-research/plushdaemon-compromises-network-devices-for-adversary-in-the-middle-attacks/. Die Analyse basiert auf Version 18 des MITRE ATT&CK-Frameworks und dokumentiert die verwendeten Taktiken und Techniken der Angreifer detailliert. (SF)
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
