PlushDaemon Tingkatkan Serangan dengan Pembajakan Pembaruan Perangkat Lunak

Kelompok peretas yang dikaitkan dengan Tiongkok dan dilacak sebagai PlushDaemon kembali menjadi sorotan setelah teridentifikasi menggunakan teknik pembajakan lalu lintas pembaruan perangkat lunak untuk melakukan spionase siber. Mereka memanfaatkan sebuah implant baru bernama EdgeStepper, yang memungkinkan peretas memotong proses pembaruan resmi dan menggantikannya dengan paket berbahaya.

Aktivitas PlushDaemon telah diamati sejak 2018, dengan target mencakup individu dan organisasi di Amerika Serikat, Tiongkok, Taiwan, Hong Kong, Korea Selatan, serta Selandia Baru. Kelompok ini dikenal menggunakan berbagai malware khusus, termasuk SlowStepper, sebuah backdoor yang telah lama menjadi senjata utama mereka.

Mengincar Institusi dengan Pembaruan yang Disusupi

PlushDaemon diketahui telah membobol sejumlah entitas penting, termasuk produsen elektronik, universitas, hingga sebuah pabrik otomotif Jepang yang beroperasi di Kamboja. Berdasarkan data telemetri perusahaan keamanan siber yang menelitinya, sejak 2019 kelompok ini semakin intens menggunakan mekanisme pembaruan perangkat lunak sebagai jalur masuk ke jaringan target.

Dalam rentang 2023 dan setelahnya, daftar korban semakin meluas—mengindikasikan bahwa metode pembajakan pembaruan ini sangat efektif dan relatif sulit terdeteksi.

Rantai Serangan: EdgeStepper Sebagai Pengendali Lalu Lintas

Serangan dimulai ketika peretas mengambil alih router korban melalui kelemahan keamanan atau kata sandi admin yang lemah. Setelah masuk, mereka memasang EdgeStepper, sebuah implant berbasis Golang yang mampu mencegat kueri DNS dan mengarahkannya ke server jahat yang mereka kendalikan.

Setiap kali pengguna mencoba memperbarui perangkat lunak, alih-alih menerima file resmi, mereka justru mendapatkan malware tahap pertama untuk Windows bernama LittleDaemon, yang disamarkan sebagai berkas DLL.

LittleDaemon kemudian berkomunikasi dengan server peretas dan mengunduh dropper tahap kedua bernama DaemonicLogistics, yang dijalankan langsung dari memori untuk menghindari deteksi. Dari sinilah SlowStepper ditanamkan ke sistem korban.

SlowStepper: Backdoor Serbaguna

SlowStepper sebelumnya telah digunakan dalam serangan terhadap pengguna produk VPN Korea Selatan. Backdoor ini mampu mengumpulkan informasi sistem, menjalankan perintah, memanipulasi file, hingga mengoperasikan alat spyware berbasis Python yang dapat mencuri data peramban, merekam ketikan, dan mengambil kredensial.

Dalam temuan terbaru, para peneliti mendapati PlushDaemon membajak pembaruan perangkat lunak Sogou Pinyin, salah satu input method paling populer di Tiongkok. Namun mereka juga menemukan bahwa pembaruan produk lain turut ditargetkan dengan cara serupa.

Para analis menilai kemampuan adversary-in-the-middle yang dimiliki PlushDaemon cukup kuat untuk menargetkan korban secara global tanpa batas wilayah.

Laporan terbaru menguraikan detail teknis malware yang digunakan serta indikator kompromi mencakup file, alamat IP, dan domain yang dikaitkan dengan operasi EdgeStepper.