[23/01/2025] Los investigadores de ESET han descubierto un ataque a la cadena de suministro contra un proveedor de VPN en Corea del Sur por parte de un grupo APT alineado con China recientemente descubierto y no detectado previamente y al que ESET ha llamado PlushDaemon. Según lo señalado en el comunicado de prensa, en esta operación de ciberespionaje, los atacantes reemplazaron el instalador legítimo por uno que también implementó el implante característico del grupo, que ESET ha denominado SlowStepper, una puerta trasera rica en funciones con un conjunto de herramientas de más de 30 componentes. Según la compañía, el actor de amenazas alineado con China ha estado activo desde al menos 2019, participando en operaciones de espionaje contra personas y entidades en China continental, Taiwán, Hong Kong, Corea del Sur, Estados Unidos y Nueva Zelanda.
"En mayo de 2024, notamos detecciones de código malicioso en un instalador de NSIS para Windows que los usuarios de Corea del Sur habían descargado del sitio web del software VPN legítimo IPany. En un análisis más detallado, descubrimos que el instalador estaba implementando tanto el software legítimo como la puerta trasera. Nos pusimos en contacto con el desarrollador del software VPN para informarle del compromiso, y el instalador malicioso se eliminó de su sitio web", sostuvo el investigador de ESET, Facundo Muñoz, quien hizo el descubrimiento.
Además, agregó el investigador, PlushDaemon obtiene acceso inicial a través de la técnica de secuestrar actualizaciones legítimas de aplicaciones chinas redirigiendo el tráfico a los servidores controlados por los atacantes. ESET también ha observado que el grupo obtiene acceso a través de vulnerabilidades en servidores web legítimos.
"La puerta trasera SlowStepper es utilizada exclusivamente por PlushDaemon. Esta puerta trasera es notable por su protocolo C&C multietapa que utiliza DNS, así como por su capacidad para descargar y ejecutar docenas de módulos Python adicionales con capacidades de espionaje”, comentó Muñoz.
Señaló, asimismo que, el malware recopila una amplia gama de datos de los navegadores web; es capaz de tomar fotos; escaneos en busca de documentos; recopila información de varias aplicaciones, incluidas las aplicaciones de mensajería (por ejemplo, WeChat, Telegram); puede espiar a través de audio y video; y roba credenciales de contraseñas.
"Los numerosos componentes del conjunto de herramientas PlushDaemon, y su rico historial de versiones, muestran que, aunque hasta ahora era desconocido, este grupo APT alineado con China ha estado operando diligentemente para desarrollar una amplia gama de herramientas, lo que lo convierte en una amenaza importante a tener en cuenta", finalizó Muñoz.
Franca Cavassa, CTOPerú