Actualiteiten Digitaal dreigingslandschap

PlushDaemon: nieuwe malwaremodule legt de basis voor geavanceerde adversary-in-the-middle–aanvallen

8 minuten leestijd

door Michelle Dolk

ESET-onderzoekers hebben een nieuw malwaremodule blootgelegd dat wordt ingezet door de China-gelinkte APT-groep PlushDaemon. Met deze toolset voert de groep adversary-in-the-middle (AitM)-aanvallen uit door het kapen van software-updates via gehackte netwerkapparaten. Hiermee krijgt de aanvaller een stabiele route om systemen wereldwijd te compromitteren, inclusief organisaties in China, Taiwan, de VS, Nieuw-Zeeland, Cambodja en Hongkong. In dit artikel nemen we de belangrijkste inzichten uit het onderzoek door: hoe de aanval werkt, welke componenten betrokken zijn en waarom deze campagne zo gevaarlijk is, ook voor organisaties buiten Azië.

Wat maakt PlushDaemon uniek?

PlushDaemon is al zeker sinds 2028 actief en richt zich primair op cyberspionage. De groep valt zowel individuen als bedrijven aan, onder meer in de publieke sector, technologie, onderwijs en productie. De kracht van PlushDaemon zit in:

  • Het misbruiken van legitieme software-updateprocessen.
  • Een netwerkimplant malwaremodule dat DNS-verkeer omleidt naar malafide update-servers.
  • Een keten van downloaders die uiteindelijk de backdoor SlowStepper installeren.

Deze werkwijze maakt de aanvallen moeilijk te detecteren, omdat alles lijkt te verlopen via vertrouwde updatekanalen.

EdgeStepper: het hart van de aanval

De campagne draait om het netwerkimplant malwaremodule EdgeStepper. Dit is een Go-gebaseerde ELF-binary voor MIPS-routers en wordt geplaatst op kwetsbare of slecht beveiligde netwerkapparaten, vaak routers.

Hoe werkt EdgeStepper?

  1. Compromitteren van een netwerkdevice
    De aanvaller misbruikt een kwetsbaarheid of default-wachtwoorden om op bijvoorbeeld een router in te breken.
  2. DNS-verkeer omleiden
    EdgeStepper onderschept alle DNS-requests en stuurt deze naar een malafide DNS-node.
    • Is het domein van een software-update?
      → Dan geeft de server een IP-adres van de PlushDaemon-infrastructuur terug.
  3. Kapotmaken van software-updates
    Apparaten denken een update te downloaden van een vertrouwde bron (zoals ime.sogou.com), maar krijgen in werkelijkheid geïnfecteerde bestanden van een hijacking-node.

EdgeStepper gebruikt iptables-regels om zichzelf als transparante DNS-proxy in de netwerkstroom te plaatsen. Hierdoor ziet het slachtoffer niets verdachts: updates verlopen “normaal”, maar zijn volledig gekaapt.

Van update naar backdoor: LittleDaemon en DaemonicLogistics

Wanneer de update is omgeleid, ontvangt het slachtoffer eerst LittleDaemon, een compacte downloader. Deze:

  • controleert of de SlowStepper-backdoor al actief is;
  • downloadt en decodeert de volgende fase: DaemonicLogistics.

DaemonicLogistics: het echte werk

Deze stage wordt in memory uitgevoerd en:

  • vraagt nieuwe instructies op bij de hijacking-node;
  • downloadt SlowStepper in verschillende datablokken;
  • herkent bestanden die vermomd zijn als ZIP of GIF;
  • kan aanvullende modules zoals plugin.exe ophalen.

De communicatie verloopt via HTTP maar met versleutelde payloads, en is vermomd als normaal verkeer naar bekende Chinese software-diensten.

Waarom deze aanvalsvector zo gevaarlijk is

Voor organisaties is deze campagne bijzonder risicovol vanwege:

1. Misbruik van vertrouwde netwerkapparaten

Zwakke of gepatchte routers en appliances beveiligingsapparatuurvormen een perfect doelwit.

2. Volledige controle over updateverkeer

Zodra DNS wordt omgeleid, kan elke software-update worden gemanipuleerd.

3. Moeilijk zichtbaar in traditionele monitoring

De aanval maakt gebruik van:

  • legitieme domeinen,
  • standaardprotocollen (HTTP/DNS),
  • bestaande update-mechanismen.

Hierdoor lijkt het netwerkgedrag op reguliere bedrijfsactiviteit.

4. Wereldwijde impact

Onderzoek van ESET toont ESET-telemetrie toont slachtoffers verspreid over meerdere regio’s, inclusief niet-Aziatische landen en industriële organisaties.

Hoe organisaties zich kunnen wapenen

1. Bescherm netwerkapparaten

  • Update firmware van routers, VPN-gateways en IoT-apparatuur.
  • Vervang apparaten die geen security-updates meer ontvangen.
  • Schakel remote management uit of beveilig het met MFA.

2. Monitor DNS- en updateverkeer

Let op:

  • plotselinge wijzigingen in DNS-resolutie,
  • verkeer naar onbekende IP’s die lijken op legitieme updateproviders,
  • ongebruikelijke responses op update-requests.

3. Voer network segmentation in

Beperk de impact van een gecompromitteerd routerapparaat.

4. Detecteer kwaadaardige payloads

ESET detecteert de componenten van deze aanval onder andere als:

  • Linux/Agent.AEP (EdgeStepper)
  • Win32/Agent.AGXK (LittleDaemon)
  • Win32/Agent.AFDT (variant LittleDaemon)

Kijk verder dan endpoints

PlushDaemon laat zien dat aanvallen via netwerkapparaten niet alleen realistisch, maar ook uiterst effectief zijn. Door de updateketen te kapen via EdgeStepper kan een aanvaller jarenlang onopgemerkt blijven en precies die systemen infecteren waar waardevolle data aanwezig is.

Voor bedrijven is het cruciaal om verder te kijken dan endpoints alleen. Bescherm netwerkapparatuur, controleer updateverkeer en zet monitoring in op DNS-niveau. Alleen zo kunnen aanvallen zoals deze worden ontdekt en geblokkeerd voordat er schade ontstaat.