ESET ontdekt nieuwe China-geallieerde APT-groep PlushDaemon en supply-chain aanval op Zuid-Koreaanse VPN-dienst
ESET -onderzoekers hebben een supply-chain aanval ontdekt op een VPN-provider in Zuid-Korea, uitgevoerd door een nieuw ontdekte China-geallieerde APT-groep genaamd PlushDaemon. Tijdens deze cyberespionageoperatie hebben de aanvallers de legitieme installer vervangen door een versie die zowel de legitieme software als het kenmerkende implantaat van de groep, SlowStepper, installeert. SlowStepper is een geavanceerde backdoor met meer dan 30 modules.
De China-geallieerde dreigingsactor is sinds 2019 actief en voert spionage uit tegen doelen in onder andere China, Taiwan, Hongkong, Zuid-Korea, de VS en Nieuw-Zeeland.
"In mei 2024 merkten we detecties op van kwaadaardige code in een NSIS-installer voor Windows die gebruikers uit Zuid-Korea hadden gedownload van de website van de legitieme VPN-software IPany. Bij nader onderzoek ontdekten we dat de installer zowel de legitieme software als de backdoor installeerde. We hebben de ontwikkelaar van de VPN-software geïnformeerd over de inbreuk, waarna de kwaadaardige installer van hun website werd verwijderd,” zegt ESET-onderzoeker Facundo Muñoz, die de ontdekking deed.
Daarnaast krijgt PlushDaemon initiële toegang door legitieme updates van Chinese applicaties te kapen via verkeer naar servers die door de aanvallers worden beheerd. ESET heeft ook waargenomen dat de groep toegang verkrijgt via kwetsbaarheden in legitieme webservers.
De SlowStepper-backdoor wordt exclusief gebruikt door PlushDaemon. Deze backdoor valt op door zijn meerfasige C&C-protocol via DNS en zijn mogelijkheid om tientallen extra Python-modules met spionagemogelijkheden te downloaden en uit te voeren.
De malware verzamelt gegevens uit webbrowsers, kan foto’s maken, documenten scannen, informatie uit verschillende applicaties verzamelen (zoals WeChat en Telegram), audio en video opnemen, en wachtwoordgegevens stelen.
“De talrijke componenten in het PlushDaemon-toolset en de uitgebreide versiegeschiedenis tonen aan dat deze China-geallieerde APT-groep, hoewel onbekend, ijverig heeft gewerkt aan de ontwikkeling van een breed scala aan tools. Dit maakt hen tot een belangrijke dreiging om in de gaten te houden,” concludeert Muñoz.
Voor een gedetailleerde analyse en technische uiteenzetting van de PlushDaemon-toolset, raadpleeg de nieuwste ESET Research-blogpost: “China-aligned PlushDaemon compromises supply chain of Korean VPN service” op WeLiveSecurity.com. Volg ESET Research op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.
Uitvoering van SlowStepper
Meer over
Lees ook
China-georiënteerde dreigingsactor doelt op economische betrekkingen tussen VS en China
In juli en augustus 2025 voerde TA415 spearphishingcampagnes uit, gericht op Amerikaanse overheids-, denktank- en academische organisaties. Hierbij werd gebruik gemaakt van economische lokmiddelen tussen de Verenigde Staten en China.
OneXillium blikt terug op succesvolle editie van Cybersec Netherlands
Voor OneXillium was Cybersec Netherlands een groot succes. Ons team sprak met talloze bezoekers, voerde waardevolle gesprekken en legde maar liefst 86 nieuwe contacten. Het was inspirerend om te merken hoe breed de belangstelling is voor onze oplossingen.
OPENVAS B.V. debuteert op Cybersec Netherlands 2025 in Utrecht
Utrecht wordt op 10 en 11 september 2025 het centrale ontmoetingspunt voor de cybersecuritygemeenschap. OPENVAS B.V. zal voor het eerst deelnemen aan Cybersec Netherlands, een belangrijke stap in de uitbreiding van onze lokale aanwezigheid na de oprichting van het Beneluxkantoor