Un nouveau dispositif d’attaque : EdgeStepper
Les équipes d’ESET ont mis au jour un implant réseau inédit, baptisé EdgeStepper, utilisé par le groupe APT PlushDaemon, aligné sur les intérêts chinois. Cet outil permet de réaliser des attaques de type « adversary-in-the-middle » (AitM), en s’attaquant directement aux équipements réseau, notamment les routeurs connectés à des environnements sensibles.
EdgeStepper modifie les requêtes DNS effectuées par les appareils compromis. Une fois à l’intérieur du réseau, il intercepte systématiquement chaque demande et la redirige vers un serveur contrôlé par les attaquants. Ce serveur malveillant renvoie alors l’adresse d’un nœud chargé d’interférer avec les mises à jour logicielles, permettant de manipuler ou de substituer les fichiers envoyés aux victimes.
Manipulation des mises à jour logicielles
Le mécanisme mis en place par PlushDaemon n’intercepte pas seulement le trafic : il détourne les mises à jour de logiciels chinois couramment utilisés. Au lieu de télécharger les fichiers légitimes, les systèmes infectés récupèrent des téléchargeurs malveillants tels que LittleDaemon et DaemonicLogistics.
Ces outils servent ensuite à introduire dans le système la porte dérobée phare du groupe, SlowStepper. Cette dernière se compose de dizaines de modules spécialisés dans le cyberespionnage, offrant à PlushDaemon une large palette d’actions : exfiltration de données, surveillance, persistance et communication furtive.
Une activité étendue à l’échelle mondiale
Actif depuis au moins 2019, PlushDaemon mène des opérations dans différentes régions du monde. ESET a documenté des attaques visant des entités situées aux États-Unis, en Nouvelle-Zélande, au Cambodge, à Hong Kong, à Taïwan et même en Chine continentale.
Les organisations ciblées incluent :
• une université à Pékin
• un fabricant d’électronique taïwanais
• une entreprise du secteur automobile
• une filiale japonaise de production industrielle
Cette diversité démontre la portée stratégique du groupe et son intérêt marqué pour les secteurs sensibles.
Compromission des routeurs : le point d’entrée
Dans la campagne analysée, PlushDaemon débute par la prise de contrôle d’un équipement réseau fréquemment utilisé par la cible. L’infection peut survenir via l’exploitation d’une vulnérabilité non corrigée ou grâce à l’usage d’identifiants administratifs faibles ou compromis.
Une fois l’accès obtenu, EdgeStepper est déployé et sert de pivot pour le détournement du trafic DNS. Selon le chercheur d’ESET Facundo Muñoz, le serveur contrôlé par les attaquants vérifie si le domaine interrogé correspond à un service de mise à jour logicielle. Si c’est le cas, il renvoie l’adresse d’un nœud alternatif opérant sous leur contrôle. Dans certains scénarios, ce même serveur agit à la fois comme résolveur DNS et comme nœud malveillant.
ESET indique que plusieurs logiciels chinois populaires ont vu leurs mises à jour interceptées via cette méthode, démontrant la sophistication et la précision de l’opération.
Un groupe APT déjà connu pour ses attaques avancées
PlushDaemon n’est pas un acteur nouveau. Détecté depuis au moins 2018, il se spécialise dans l’espionnage numérique ciblant des individus et organisations de la région Asie-Pacifique et des États-Unis. SlowStepper, sa porte dérobée personnalisée, représente l’un de ses outils les plus utilisés.
Les chercheurs d’ESET avaient déjà observé des compromissions réalisées via des vulnérabilités de serveurs web. En 2023, le groupe avait orchestré une attaque sur une chaîne d’approvisionnement, signe d’une stratégie évolutive et de plus en plus agressive.
Pour aller plus loin
Le rapport complet d’ESET Research, « PlushDaemon compromet les dispositifs réseau pour des attaques adversaires-in-the-middle », est disponible sur WeLiveSecurity.com.
