En el ámbito de la ciberseguridad, el grupo de hackers conocido como PlushDaemon ha cobrado notoriedad desde su aparición en 2018. Este grupo, alineado con intereses chinos, ha desarrollado sofisticadas técnicas para infiltrarse en dispositivos de red y ejecutar ataques de ciberespionaje en diversas regiones del mundo, incluyendo Estados Unidos y varios países de Asia.
Uno de los métodos más destacados utilizados por PlushDaemon es el EdgeStepper, un implante capaz de manipular el tráfico de DNS.
Este artículo explora cómo este grupo logra comprometer dispositivos y redirigir actualizaciones de software hacia servidores maliciosos, poniendo en riesgo la seguridad de numerosas organizaciones.
Cómo opera el grupo PlushDaemon
PlushDaemon emplea un enfoque meticuloso para llevar a cabo sus ataques. Inicialmente, el grupo identifica vulnerabilidades de software en dispositivos de red, o bien aprovecha credenciales administrativas por defecto que no han sido cambiadas. Una vez que obtienen acceso, despliegan el EdgeStepper, que comienza a redirigir solicitudes de actualizaciones de software legítimas hacia nodos controlados por los atacantes.
La redirección de tráfico de DNS
El EdgeStepper actúa como un adversary-in-the-middle, interceptando las consultas de DNS que se realizan desde los dispositivos comprometidos. Cuando un sistema solicita una actualización de software, el EdgeStepper lo redirige a un servidor malicioso que entrega un archivo DLL, conocido como LittleDaemon. Este archivo, aunque no mantiene persistencia, contacta al nodo malicioso para descargar un segundo componente llamado DaemonicLogistics.
Una vez que DaemonicLogistics se ejecuta en la memoria, este se encarga de obtener el SlowStepper, el verdadero backdoor que permite al grupo mantener acceso remoto y ejecutar múltiples acciones maliciosas en los sistemas objetivo.
Impacto y alcance de las operaciones de PlushDaemon
Las campañas de PlushDaemon han tenido un impacto significativo desde su inicio. Investigaciones de ESET revelan que el grupo ha atacado a diferentes sectores, incluyendo educación, manufactura electrónica y automotriz.
Los ataques han afectado a organizaciones en países como Taiwán, Hong Kong y Nueva Zelanda, además de su patria, China.
Un ataque notable fue el compromiso de un servicio VPN de Corea del Sur en, que amplía aún más su alcance de espionaje. La capacidad de PlushDaemon para llevar a cabo ataques de cadena de suministro demuestra su sofisticación y la creciente preocupación en torno a las amenazas cibernéticas patrocinadas por el estado.
El futuro de las amenazas cibernéticas
La utilización de técnicas como el EdgeStepper subraya una tendencia alarmante entre los grupos vinculados a estados, que buscan interceptar mecanismos de actualización legítimos para realizar operaciones encubiertas. La capacidad de PlushDaemon para comprometer dispositivos de red y manipular el tráfico sin ser detectados es un claro indicativo de los desafíos que enfrentan las organizaciones en la actualidad.
Los expertos en ciberseguridad advierten que la vigilancia constante y la actualización de las defensas son esenciales para mitigar el riesgo de tales ataques. La implementación de buenas prácticas de seguridad, como el cambio de credenciales predeterminadas y la corrección de vulnerabilidades, son pasos cruciales para protegerse contra la amenaza que representa PlushDaemon y otros actores similares.
