ESET ontdekt nieuwe China-geallieerde APT-groep PlushDaemon en supply-chain aanval op Zuid-Koreaanse VPN-dienst
ESET -onderzoekers hebben een supply-chain aanval ontdekt op een VPN-provider in Zuid-Korea, uitgevoerd door een nieuw ontdekte China-geallieerde APT-groep genaamd PlushDaemon. Tijdens deze cyberespionageoperatie hebben de aanvallers de legitieme installer vervangen door een versie die zowel de legitieme software als het kenmerkende implantaat van de groep, SlowStepper, installeert. SlowStepper is een geavanceerde backdoor met meer dan 30 modules.
De China-geallieerde dreigingsactor is sinds 2019 actief en voert spionage uit tegen doelen in onder andere China, Taiwan, Hongkong, Zuid-Korea, de VS en Nieuw-Zeeland.
"In mei 2024 merkten we detecties op van kwaadaardige code in een NSIS-installer voor Windows die gebruikers uit Zuid-Korea hadden gedownload van de website van de legitieme VPN-software IPany. Bij nader onderzoek ontdekten we dat de installer zowel de legitieme software als de backdoor installeerde. We hebben de ontwikkelaar van de VPN-software geïnformeerd over de inbreuk, waarna de kwaadaardige installer van hun website werd verwijderd,” zegt ESET-onderzoeker Facundo Muñoz, die de ontdekking deed.
Daarnaast krijgt PlushDaemon initiële toegang door legitieme updates van Chinese applicaties te kapen via verkeer naar servers die door de aanvallers worden beheerd. ESET heeft ook waargenomen dat de groep toegang verkrijgt via kwetsbaarheden in legitieme webservers.
De SlowStepper-backdoor wordt exclusief gebruikt door PlushDaemon. Deze backdoor valt op door zijn meerfasige C&C-protocol via DNS en zijn mogelijkheid om tientallen extra Python-modules met spionagemogelijkheden te downloaden en uit te voeren.
De malware verzamelt gegevens uit webbrowsers, kan foto’s maken, documenten scannen, informatie uit verschillende applicaties verzamelen (zoals WeChat en Telegram), audio en video opnemen, en wachtwoordgegevens stelen.
“De talrijke componenten in het PlushDaemon-toolset en de uitgebreide versiegeschiedenis tonen aan dat deze China-geallieerde APT-groep, hoewel onbekend, ijverig heeft gewerkt aan de ontwikkeling van een breed scala aan tools. Dit maakt hen tot een belangrijke dreiging om in de gaten te houden,” concludeert Muñoz.
Voor een gedetailleerde analyse en technische uiteenzetting van de PlushDaemon-toolset, raadpleeg de nieuwste ESET Research-blogpost: “China-aligned PlushDaemon compromises supply chain of Korean VPN service” op WeLiveSecurity.com. Volg ESET Research op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.
Uitvoering van SlowStepper
Meer over
Lees ook
Hoe VirtualMetric helpt Microsoft Sentinel (data lake) te optimaliseren en securityteams makkelijker hun data helpt te beheren
VirtualMetric is een Nederlandse cybersecurity-bedrijf met één duidelijke missie: securityteams in staat stellen om volledige controle te nemen over hun telemetrie — zonder complexiteit, verspilling of blinde vlekken.
Waarom overzicht geen garantie voor effectieve security beveiliging is
Hoe ontstaan beveiligingsincidenten? Meestal niet omdat cybercriminelen zo vindingrijk zijn. Het gaat mis omdat organisaties niet zien wat er zich recht voor hun neus afspeelt zoals een lang vergeten account dat nog altijd actief is of firewall-regels die lange tijd niet gecheckt worden. Als security-teams klagen over een gebrek aan overzicht...
WatchGuard: 40% meer evasieve malware via versleutelde verbindingen
WatchGuard Technologies meldt in het Internet Security Report over Q2 2025 een forse stijging van 40% in geavanceerde, evasieve malware. Het gaat vooral om aanvallen die Transport Layer Security (TLS) misbruiken, dezelfde versleuteling die normaal webverkeer moet beschermen.