El grupo PlushDaemon, un actor de ciberespionaje alineado a China activo desde al menos 2018, ha sido vinculado con un nuevo implante en Go bautizado como EdgeStepper. Esta herramienta permite ejecutar ataques Adversary-in-the-Middle (AitM) y redirigir tráfico legítimo hacia infraestructura controlada por el atacante, comprometiendo silenciosamente procesos críticos de actualización de software.
1. ¿Quién está detrás? PlushDaemon y su historial operativo
PlushDaemon es un grupo con una larga trayectoria en campañas de espionaje digital dirigidas a sectores estratégicos. Entre sus víctimas se encuentran:
Empresas de electrónica, manufactura y automotriz.
Universidades y entidades gubernamentales en Asia.
Organizaciones en EE. UU., Nueva Zelanda, Hong Kong, Taiwán, Corea del Sur y Camboya.
Este APT se ha especializado en comprometer cadenas de suministro digitales y mecanismos de actualización, una técnica cada vez más empleada por grupos alineados a China como LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood y FontGoblin.
2. EdgeStepper: un backdoor que manipula el DNS para secuestrar tráfico
El implante EdgeStepper opera en dispositivos perimetrales —como routers y equipos de borde— previamente comprometidos mediante vulnerabilidades o credenciales débiles. Una vez dentro, redirige todas las consultas DNS hacia un nodo malicioso controlado por los atacantes.
¿Qué logra esta manipulación del DNS?
Detecta si el dominio consultado pertenece a un servicio de actualización de software.
Si es el caso, responde con la IP del servidor malicioso.
Redirige la descarga hacia un archivo comprometido en lugar del update legítimo.
En algunos escenarios, un mismo servidor actúa como nodo DNS malicioso y punto de distribución, simplificando la operación y haciendo más difícil su detección.
3. Arquitectura interna: Distributor + Ruler
EdgeStepper está compuesto por dos módulos principales:
Distributor
Resuelve la dirección del nodo DNS/control.
Gestiona la comunicación con la infraestructura del atacante.
Ruler
Configura reglas de filtrado de paquetes mediante iptables.
Ajusta dinámicamente qué tráfico debe ser interceptado, modificado o redirigido.
Esta arquitectura modular permite mantener el control de forma persistente y flexible, adaptándose a diferentes entornos de red.
4. Ataque en cadena: de la actualización secuestrada al control total
El objetivo final es implantar la cadena de herramientas maliciosas del grupo:
1) Secuestro del update
EdgeStepper intercepta actualizaciones de software populares en China, como Sogou Pinyin, para reemplazarlas con una DLL maliciosa llamada LittleDaemon.
2) Ejecución del primer stage
LittleDaemon evalúa si el sistema ya está infectado con SlowStepper.
Si no lo está, descarga el módulo DaemonicLogistics.
3) DaemonicLogistics
Descarga y ejecuta la backdoor principal del grupo: SlowStepper.
4) SlowStepper: el implante insignia
Este backdoor incluye capacidades avanzadas, entre ellas:
Recolección de información del sistema.
Extracción de archivos y credenciales de navegadores.
Acceso a datos de aplicaciones de mensajería.
Persistencia y mecanismos de autodestrucción.
El resultado: compromiso global y silencioso, desde la red perimetral hasta el endpoint final.
5. Un modelo de ataque altamente escalable
Según ESET, PlushDaemon es parte de un ecosistema creciente de grupos chinos que:
Secuestran mecanismos de actualización para entrada inicial.
Utilizan dispositivos edge vulnerables como vector principal.
Mantienen infraestructuras modulares diseñadas para operaciones prolongadas de espionaje.
Este enfoque convierte al ataque AitM en un punto de entrada eficiente, silencioso y difícil de rastrear, especialmente cuando se apoya en routers o equipos de red que suelen estar desactualizados o mal configurados.
Conclusión
La aparición de EdgeStepper confirma una tendencia clara: los ataques contra la cadena de suministro digital y las actualizaciones de software son ahora una de las principales tácticas usadas por actores estatales avanzados. Para las organizaciones, esto refuerza la necesidad de:
Proteger dispositivos perimetrales y equipos de borde.
Validar la integridad de procesos de actualización.
Implementar monitoreo profundo de DNS y tráfico anómalo.
Adoptar estrategias de detección basadas en comportamiento.
Este nuevo implante demuestra la evolución de PlushDaemon y subraya la creciente sofisticación del ecosistema APT en Asia.
