PlushDaemon: ESET revela ciberespionagem de grupo criminoso ligado à china

04 Fev 2025 · Internet Comentar

O departamento de investigação da ESET descobriu um grupo de Ameaça Persistente Avançada (APT) ligado à China, até agora desconhecido, chamado PlushDaemon e envolvido em operações de ciberespionagem.

ESET também identificou um ataque contra um popular serviço de VPN da Coreia do Sul

O principal vetor de acesso inicial do PlushDaemon é a interferência nas atualizações legítimas de aplicações chinesas, mas a ESET também identificou um ataque contra um popular serviço de VPN da Coreia do Sul. O grupo está ativo pelo menos desde 2019, conduzindo operações de espionagem contra indivíduos e entidades na China continental, Taiwan, Hong Kong, Coreia do Sul, Estados Unidos e Nova Zelândia.

Em maio de 2024, detetámos código malicioso num instalador NSIS para Windows que utilizadores da Coreia do Sul tinham descarregado do site do software legítimo de VPN, IPany. Numa análise mais aprofundada, descobrimos que o instalador estava a implementar tanto o software legítimo como uma backdoor. Contactámos o desenvolvedor do software VPN para os informar sobre a falha de segurança, e o instalador malicioso foi removido do site

Facundo Muñoz, investigador da ESET responsável pela descoberta.

Além disso, o PlushDaemon obtém o seu acesso inicial através da técnica de roubo de atualizações legítimas de aplicações chinesas, redirecionando o tráfego para servidores controlados pelos atacantes. A ESET também observou que o grupo ganha acesso através da exploração de vulnerabilidades em servidores web legítimos.

A backdoor SlowStepper é utilizada exclusivamente pelo PlushDaemon e destaca-se pela sua capacidade de descarregar e executar dezenas de módulos adicionais em Python com funcionalidades de espionagem. O malware recolhe uma ampla gama de dados de diferentes browsers sendo capaz de tirar fotografias, procurar documentos, recolher informações de várias aplicações – incluindo aplicações de mensagens (como WeChat e Telegram) –, espiar através de áudio e vídeo e roubar credenciais de acesso.

"Os inúmeros componentes no conjunto de ferramentas do PlushDaemon, e o seu vasto histórico de versões, mostram que, embora desconhecido anteriormente, este grupo APT alinhado à China tem trabalhado diligentemente para desenvolver uma diversas ferramentas, tornando-o uma ameaça significativa a ser monitorizada," conclui Muñoz.

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.