APT PlushDaemon compromette servizio VPN coreano con SlowStepper

da Livio Varriale
0 commenti 2 minuti leggi
APT PlushDaemon compromette servizio VPN coreano con SlowStepper

Un nuovo rapporto di ESET ha rivelato dettagli sull’operazione di cyber spionaggio condotta dal gruppo PlushDaemon, allineato con la Cina. Questa campagna, emersa nel 2023, ha compromesso la supply chain di un software VPN sviluppato da un’azienda sudcoreana, sfruttando un installer modificato per distribuire una potente backdoor chiamato SlowStepper. Questo caso evidenzia le vulnerabilità insite nella supply chain e l’abilità dei gruppi avanzati di minaccia persistente (APT) nel mirare obiettivi strategici.

Annunci
image 310
APT PlushDaemon compromette servizio VPN coreano con SlowStepper 10

Chi è PlushDaemon?

L’APT cinese è attivo almeno dal 2019 e si distingue per il suo focus sul cyber spionaggio. Le operazioni del gruppo hanno preso di mira individui e organizzazioni in Cina, Taiwan, Hong Kong, Corea del Sud, Stati Uniti e Nuova Zelanda. La campagna scoperta nel 2023 ha sfruttato un installer trojanizzato di IPanyVPN, scaricato manualmente dagli utenti dal sito web ufficiale del software. Oltre al programma legittimo, l’installer distribuiva componenti malevoli, inclusi loader e moduli critici per l’attivazione del backdoor SlowStepper.

image 311
APT PlushDaemon compromette servizio VPN coreano con SlowStepper 11

SlowStepper è un toolkit complesso composto da più di 30 moduli scritti in C++, Python e Go, progettati per raccolta di dati, spionaggio tramite audio e video, e altre attività intrusive. Questa backdoor utilizza un sistema di comunicazione C2 basato su DNS, il che lo rende altamente adattabile e difficile da rilevare.

image 312
APT PlushDaemon compromette servizio VPN coreano con SlowStepper 12

Le vittime di questa operazione includono un’azienda di semiconduttori e una società di sviluppo software in Corea del Sud, ma il backdoor ha mostrato segni di attività anche in Giappone e Cina. Una volta installato, SlowStepper stabilisce la persistenza modificando il registro di Windows e utilizzando metodi sofisticati di carico DLL per avviare le sue funzioni malevole.

Il ruolo della supply chain nella sicurezza informatica

Gli attacchi alla supply chain, come quello orchestrato da PlushDaemon, evidenziano quanto sia fondamentale proteggere l’intero ciclo di vita del software. Quando un componente chiave come un installer viene compromesso, le implicazioni possono estendersi a tutte le organizzazioni che fanno affidamento su quel prodotto.

image 313
APT PlushDaemon compromette servizio VPN coreano con SlowStepper 13

PlushDaemon ha dimostrato una notevole capacità tecnica, utilizzando il suo toolkit per aggirare controlli di sicurezza e condurre operazioni mirate contro settori strategici. Il gruppo sfrutta anche repository pubblici, come la piattaforma cinese GitCode, per distribuire strumenti malevoli.

L’operazione di PlushDaemon contro la supply chain del software VPN sudcoreano sottolinea la crescente sofisticazione degli attacchi di cyber spionaggio. Proteggere la supply chain è fondamentale per contrastare minacce avanzate e limitare l’impatto di queste campagne su scala globale.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara