O departamento de investigação da ESET descobriu um grupo de Ameaça Persistente Avançada (APT) ligado à China, até agora desconhecido, chamado PlushDaemon e envolvido em operações de ciberespionagem.
O principal vetor de acesso inicial do PlushDaemon é a interferência nas atualizações legítimas de aplicações chinesas, mas a ESET também identificou um ataque contra um popular serviço de VPN da Coreia do Sul. O grupo está ativo pelo menos desde 2019, conduzindo operações de espionagem contra indivíduos e entidades na China continental, Taiwan, Hong Kong, Coreia do Sul, Estados Unidos e Nova Zelândia.
“Em maio de 2024, detetámos código malicioso num instalador NSIS para Windows que utilizadores da Coreia do Sul tinham descarregado do site do software legítimo de VPN, IPany. Numa análise mais aprofundada, descobrimos que o instalador estava a implementar tanto o software legítimo como uma backdoor. Contactámos o desenvolvedor do software VPN para os informar sobre a falha de segurança, e o instalador malicioso foi removido do site,” afirma Facundo Muñoz, investigador da ESET responsável pela descoberta.
Além disso, o PlushDaemon obtém o seu acesso inicial através da técnica de roubo de atualizações legítimas de aplicações chinesas, redirecionando o tráfego para servidores controlados pelos atacantes. A ESET também observou que o grupo ganha acesso através da exploração de vulnerabilidades em servidores web legítimos.
A backdoor SlowStepper é utilizada exclusivamente pelo PlushDaemon e destaca-se pela sua capacidade de descarregar e executar dezenas de módulos adicionais em Python com funcionalidades de espionagem. O malware recolhe uma ampla gama de dados de diferentes browsers sendo capaz de tirar fotografias, procurar documentos, recolher informações de várias aplicações – incluindo aplicações de mensagens (como WeChat e Telegram) –, espiar através de áudio e vídeo e roubar credenciais de acesso.
“Os inúmeros componentes no conjunto de ferramentas do PlushDaemon, e o seu vasto histórico de versões, mostram que, embora desconhecido anteriormente, este grupo APT alinhado à China tem trabalhado diligentemente para desenvolver uma diversas ferramentas, tornando-o uma ameaça significativa a ser monitorizada,” conclui Muñoz.
