jeudi, juillet 2, 2026
38.7 C
Tunisie

ESET : EdgeStepper, l’outil de PlushDaemon qui détourne les routeurs et infiltre les mises à jour logicielles

ESET révèle une campagne AitM sophistiquée menée par PlushDaemon. Grâce à l’implant EdgeStepper, le groupe détourne des routeurs, manipule des mises à jour logicielles et déploie une chaîne complète d’outils d’espionnage ciblant l’Asie-Pacifique et les États-Unis.

Un implant réseau capable de manipuler le trafic en profondeur

Les chercheurs d’ESET viennent d’identifier EdgeStepper, un implant réseau inédit attribué au groupe PlushDaemon, un acteur APT aligné sur les intérêts chinois. Cet outil permet d’exécuter des attaques « adversary-in-the-middle » (AitM) à grande échelle en prenant le contrôle de routeurs compromis.

Une fois déployé, EdgeStepper redirige l’intégralité des requêtes DNS vers un serveur malveillant géré par les attaquants. Ce serveur évalue chaque domaine demandé et renvoie, lorsque cela concerne une mise à jour logicielle, l’adresse d’un nœud spécialement conçu pour intercepter et modifier les fichiers téléchargés.

Des mises à jour détournées pour installer des implants malveillants

PlushDaemon exploite cette redirection pour compromettre plusieurs logiciels chinois populaires. Au lieu d’obtenir des mises à jour légitimes, les victimes téléchargent des téléchargeurs malveillants comme LittleDaemon et DaemonicLogistics.

Ces derniers préparent ensuite l’installation de SlowStepper, la porte dérobée modulaire du groupe. SlowStepper comprend plusieurs dizaines de modules orientés espionnage : collecte de données, surveillance, extraction, communication chiffrée et persistance avancée.

Cette chaîne d’infection révèle une stratégie particulièrement évolutive : manipuler les mises à jour logicielles permet d’installer des implants sans éveiller de suspicion.

Une campagne internationale aux cibles multiples

PlushDaemon est actif depuis au moins 2019 et cible des régions stratégiques. ESET a répertorié des attaques dans :
• les États-Unis
• la Nouvelle-Zélande
• Hong Kong
• Taïwan
• le Cambodge
• la Chine continentale

Les victimes incluent une université pékinoise, un fabricant taïwanais d’électronique, une entreprise automobile et une filiale japonaise de production industrielle.
Cette diversité confirme l’intérêt du groupe pour les secteurs critiques : recherche, électronique, industrie et innovation.

Une compromission qui commence par le routeur

L’un des points forts de la campagne est sa méthode de pénétration. PlushDaemon commence par prendre la main sur un routeur ou un équipement réseau associé à la cible. L’accès initial repose très probablement sur l’exploitation d’une faille logicielle ou sur des identifiants administratifs faibles ou réutilisés.

Selon Facundo Muñoz, le chercheur d’ESET qui a analysé la campagne, le serveur malveillant utilisé par les attaquants peut également jouer le rôle de nœud alternatif pour les mises à jour. Dans certains cas, il renvoie directement sa propre adresse IP, simplifiant l’attaque tout en maximisant le contrôle.

Un acteur APT déjà observé dans d’autres attaques complexes

PlushDaemon est actif depuis 2018 et se distingue par l’usage systématique de SlowStepper, son implant personnalisé. ESET a déjà observé des compromissions via des vulnérabilités de serveurs web et, en 2023, le groupe a été impliqué dans une attaque sur une chaîne d’approvisionnement — une méthode particulièrement prisée des groupes APT sophistiqués.

Rapport complet

L’analyse détaillée d’ESET est disponible dans leur publication « PlushDaemon compromet les dispositifs réseau pour des attaques adversaries-in-the-middle » sur WeLiveSecurity.com.

Articles Recents

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Topics

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET est désigné seul Challenger du Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une reconnaissance qui s’appuie sur 16 années de présence dans le rapport et sur la plateforme ESET PROTECT, axée prévention

ESET Research : la Chine espionne le Golfe et l’IA sud-coréenne

ESET Research documente l'expansion des campagnes d'espionnage chinoises vers le Venezuela, la Syrie et le Golfe, avec un ciblage marquant d'une entreprise sud-coréenne spécialisée en IA et robotique, liée à Made in China 2025.

Articles connexes

Catégories populaires