Os investigadores da ESET descobriram que o grupo PlushDaemon está a realizar ataques do tipo ‘man-in-the-middle’ utilizando um implante anteriormente não documentado para dispositivos de rede (por exemplo, um router). Este implante redireciona todas as consultas DNS para um servidor DNS externo malicioso que responde com o endereço de outro nó que realiza o sequestro de atualizações.

O implante foi batizado de EdgeStepper pela ESET e redireciona efetivamente o tráfego de atualizações de software para uma infraestrutura controlada pelos cibercriminosos com o objetivo de implantar os downloaders LittleDaemon e DaemonicLogistics em máquinas específicas e, por fim, distribuir o implante SlowStepper. Refira-se que o SlowStepper é um kit de ferramentas backdoor com dezenas de componentes usados para ciberespionagem. Estes implantes dão ao PlushDaemon a capacidade de comprometer alvos em qualquer lugar do mundo, explica a ESET em comunicado de imprensa.

Importa salientar que o PlushDaemon é um grupo cibercriminoso alinhado com a China, ativo desde pelo menos 2018, que se dedica a operações de ciberespionagem contra indivíduos e entidades nos Estados Unidos, Nova Zelândia, Camboja, Hong Kong, Taiwan e na própria China continental. Segundo a ESET, entre as suas vítimas já estiveram uma universidade em Pequim, uma empresa taiwanesa que fabrica produtos eletrónicos, uma empresa do setor automóvel e uma filial de uma empresa japonesa do setor industrial.