ESET ontdekt nieuwe China-geallieerde APT-groep PlushDaemon en supply-chain aanval op Zuid-Koreaanse VPN-dienst
ESET -onderzoekers hebben een supply-chain aanval ontdekt op een VPN-provider in Zuid-Korea, uitgevoerd door een nieuw ontdekte China-geallieerde APT-groep genaamd PlushDaemon. Tijdens deze cyberespionageoperatie hebben de aanvallers de legitieme installer vervangen door een versie die zowel de legitieme software als het kenmerkende implantaat van de groep, SlowStepper, installeert. SlowStepper is een geavanceerde backdoor met meer dan 30 modules.
De China-geallieerde dreigingsactor is sinds 2019 actief en voert spionage uit tegen doelen in onder andere China, Taiwan, Hongkong, Zuid-Korea, de VS en Nieuw-Zeeland.
"In mei 2024 merkten we detecties op van kwaadaardige code in een NSIS-installer voor Windows die gebruikers uit Zuid-Korea hadden gedownload van de website van de legitieme VPN-software IPany. Bij nader onderzoek ontdekten we dat de installer zowel de legitieme software als de backdoor installeerde. We hebben de ontwikkelaar van de VPN-software geïnformeerd over de inbreuk, waarna de kwaadaardige installer van hun website werd verwijderd,” zegt ESET-onderzoeker Facundo Muñoz, die de ontdekking deed.
Daarnaast krijgt PlushDaemon initiële toegang door legitieme updates van Chinese applicaties te kapen via verkeer naar servers die door de aanvallers worden beheerd. ESET heeft ook waargenomen dat de groep toegang verkrijgt via kwetsbaarheden in legitieme webservers.
De SlowStepper-backdoor wordt exclusief gebruikt door PlushDaemon. Deze backdoor valt op door zijn meerfasige C&C-protocol via DNS en zijn mogelijkheid om tientallen extra Python-modules met spionagemogelijkheden te downloaden en uit te voeren.
De malware verzamelt gegevens uit webbrowsers, kan foto’s maken, documenten scannen, informatie uit verschillende applicaties verzamelen (zoals WeChat en Telegram), audio en video opnemen, en wachtwoordgegevens stelen.
“De talrijke componenten in het PlushDaemon-toolset en de uitgebreide versiegeschiedenis tonen aan dat deze China-geallieerde APT-groep, hoewel onbekend, ijverig heeft gewerkt aan de ontwikkeling van een breed scala aan tools. Dit maakt hen tot een belangrijke dreiging om in de gaten te houden,” concludeert Muñoz.
Voor een gedetailleerde analyse en technische uiteenzetting van de PlushDaemon-toolset, raadpleeg de nieuwste ESET Research-blogpost: “China-aligned PlushDaemon compromises supply chain of Korean VPN service” op WeLiveSecurity.com. Volg ESET Research op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.
Uitvoering van SlowStepper
Meer over
Lees ook
Nieuw Barracuda-rapport biedt inzicht in het e-maildreigingslandschap van 2025
Uit nieuw onderzoek van Barracuda Networks blijkt dat aanvallers steeds vaker schadelijke links en content in e-mails verplaatsen van de berichttekst naar e-mailbijlagen. Dit doen ze om detectie door securitytools te omzeilen.
"Social engineering is belangrijkste hulpmiddel van hackers" - Proofpoint
Het gevaarlijkste hulpmiddel van een hacker is misschien niet wat je zou verwachten. In plaats van een kwaadaardige link of geavanceerde malware, is het vermogen om je hersenen te hacken het grootste risico. Dreigingsactoren doen dit met behulp van valse persona's, schijnbaar onschuldige gesprekken en geloofwaardige verhalen om je tot actie aan te1
Fortinet Threat Report signaleert recordaantal geautomatiseerde AI-cyberaanvallen
Het ‘FortiGuard Labs 2025 Global Threat Landscape Report’ beschrijft een opleving in cybercrime-as-a-service op het dark web, waarmee een lucratieve markt ontstaat voor exploit kits en gestolen aanmeldingsgegevens