Chinese APT-groep neemt Zuid-Koreaanse VPN-dienst op de korrel

Dit meldt ESET, dat de aanval ontdekte. De China-geallieerde dreigingsactor is sinds 2019 actief en voert spionage uit tegen doelen in China, Taiwan, Hongkong, Zuid-Korea, de VS en Nieuw-Zeeland. PlushDaemon verkrijgt initiële toegang door legitieme updates van Chinese applicaties te kapen via verkeer dat wordt omgeleid naar servers onder controle van de aanvallers. Daarnaast gebruikt de groep kwetsbaarheden in legitieme webservers om toegang te krijgen.

SlowStepper-backdoor

De SlowStepper-backdoor wordt exclusief gebruikt door PlushDaemon. De backdoor onderscheidt zich door een meerfasig C&C-protocol via DNS en de mogelijkheid om tientallen extra Python-modules met spionagemogelijkheden te downloaden en uit te voeren. De malware verzamelt gegevens uit webbrowsers, maakt foto’s, scant documenten, verzamelt informatie uit applicaties zoals WeChat en Telegram, neemt audio en video op en steelt wachtwoordgegevens.

“In mei 2024 merkten we detecties op van kwaadaardige code in een NSIS-installer voor Windows die gebruikers uit Zuid-Korea hadden gedownload van de website van de legitieme VPN-software IPany. Bij nader onderzoek ontdekten we dat de installer zowel de legitieme software als de backdoor installeerde. We hebben de ontwikkelaar van de VPN-software geïnformeerd over de inbreuk, waarna de kwaadaardige installer van hun website werd verwijderd,” zegt ESET-onderzoeker Facundo Muñoz, die de ontdekking deed.

“De talrijke componenten in het PlushDaemon-toolset en de uitgebreide versiegeschiedenis tonen aan dat deze China-geallieerde APT-groep, hoewel onbekend, ijverig heeft gewerkt aan de ontwikkeling van een breed scala aan tools. Dit maakt hen tot een belangrijke dreiging om in de gaten te houden,” concludeert Muñoz.

Een gedetailleerde analyse en technische uiteenzetting van de PlushDaemon-toolset is hier beschikbaar.