PlushDaemon Buat Router Jadi Senjata Spionase

PlushDaemon Router Jadi Senjata Spionase – Para peneliti keamanan dari ESET baru-baru ini mengungkap detail tentang kelompok aktor ancaman siber yang dijuluki PlushDaemon.

Kelompok ini, yang beroperasi setidaknya sejak 2018 dan memiliki keterkaitan dengan Tiongkok, terlibat dalam operasi spionase skala global.

Taktik terbaru mereka sangat cerdik dan berbahaya, mereka menggunakan implan jaringan baru bernama EdgeStepper untuk melancarkan serangan Adversary in the Middle (AiTM).

Yang secara efektif membajak lalu lintas pembaruan (update) perangkat lunak yang sah dan mengalihkannya ke server yang dikendalikan penyerang.

Aktor Spionase yang Canggih

PlushDaemon telah menargetkan individu dan entitas di berbagai negara, termasuk Tiongkok, Taiwan, Hong Kong, Kamboja, Korea Selatan, Amerika Serikat, dan Selandia Baru. Target mereka beragam, mulai dari universitas, perusahaan elektronik, hingga sektor otomotif.

Senjata utama PlushDaemon adalah backdoor kustom yang dilacak sebagai SlowStepper. Backdoor ini memberi penyerang kendali jarak jauh atas mesin korban.
Metode utama mereka adalah membajak pembaruan sah dengan mengalihkan lalu lintas ke server jahat melalui implan jaringan baru yang disebut EdgeStepper. Selain itu, kelompok ini juga mendapatkan akses melalui kerentanan web server dan pernah melakukan serangan supply-chain pada tahun 2023 (misalnya, terhadap layanan VPN Korea Selatan).

Jembatan Pembajakan DNS

EdgeStepper (yang secara internal disebut dns_cheat_v2 oleh pengembangnya) adalah alat Adversary in the Middle milik PlushDaemon. Alat ini dirancang untuk beroperasi di perangkat jaringan, seperti router yang telah disusupi.

Mekanisme Pembajakan

Serangan AiTM ini terjadi dalam beberapa langkah:

PlushDaemon pertama-tama menyusupi perangkat jaringan yang mungkin terhubung dengan target mereka (misalnya, router). Kompromi ini kemungkinan besar dilakukan dengan mengeksploitasi kerentanan perangkat lunak atau menggunakan kredensial administratif default yang lemah.
Setelah mendapatkan akses ke router, mereka menyebarkan implan EdgeStepper.
EdgeStepper memulai misinya dengan mengalihkan semua permintaan DNS (yang bertugas menerjemahkan nama situs menjadi alamat IP) ke node DNS berbahaya milik penyerang.
Ketika perangkat korban mencoba memperbarui perangkat lunak (misalnya, Sogou Pinyin, perangkat lunak Tiongkok populer yang sering dibajak), node DNS berbahaya akan mencegat permintaan tersebut. Alih-alih memberikan alamat IP server update Sogou yang sah, node tersebut akan membalas dengan alamat IP hijacking node (server pembajak) milik penyerang.

Dengan cara ini, perangkat lunak pembaruan korban secara keliru berkomunikasi dengan server penyerang, bukan dengan infrastruktur resmi vendor.

PlushDaemon Buat Router Jadi Senjata Spionase — Image credit: Freepix

Dari LittleDaemon hingga SlowStepper

Setelah lalu lintas dialihkan ke hijacking node, rantai infeksi di mesin korban dimulai dengan dua alat penurun (downloader) berturut-turut:

1. LittleDaemon (Tahap Pertama)

LittleDaemon adalah tahap pertama yang diinstal pada mesin korban melalui pembaruan yang dibajak. Tujuan utamanya adalah berkomunikasi dengan hijacking node untuk mendapatkan downloader tahap berikutnya, yang disebut DaemonicLogistics.

Alat ini memeriksa apakah backdoor SlowStepper sudah berjalan. Jika belum, ia mengunduh DaemonicLogistics.
Untuk menghindari deteksi, LittleDaemon sering mencoba mengunduh downloader melalui domain sah seperti ime.sogou.com atau mobads.baidu.com, mengandalkan EdgeStepper untuk mengalihkan permintaan ini kembali ke server jahat.

2. DaemonicLogistics (Tahap Kedua)

DaemonicLogistics adalah kode yang dieksekusi di memori (lebih sulit dideteksi). Tujuan utamanya adalah mengunduh dan menyebarkan implan utama SlowStepper.

DaemonicLogistics berkomunikasi dengan server penyerang dan menggunakan kode status HTTP sebagai perintah. Misalnya, kode status 207 memerintahkan downloader untuk memeriksa adanya perangkat lunak antivirus tertentu (seperti 360 Total Security) dan hanya mengunduh SlowStepper jika antivirus tersebut tidak ditemukan.
Setelah semua pemeriksaan selesai, DaemonicLogistics mengunduh payload SlowStepper dalam dua bagian dan menyusunnya di dalam sistem korban.

Analisis Teknis EdgeStepper

Secara teknis, implan EdgeStepper:

Dikembangkan dalam bahasa pemrograman Go menggunakan framework open-source GoFrame.
Dikompilasi sebagai file ELF untuk prosesor MIPS32, yang umumnya digunakan pada perangkat jaringan (router) yang memiliki sumber daya rendah.
EdgeStepper menyimpan data konfigurasinya yang terenkripsi. Lucunya, kunci dan Initialization Vector (IV) yang digunakan untuk dekripsi adalah string sederhana yang tidak aman: “I Love Go Frame!” (Ini adalah default dari pustaka GoFrame).

Konfigurasi ini berisi host berbahaya tempat perangkat EdgeStepper meneruskan permintaan DNS korban.

Konklusi

Operasi PlushDaemon, dengan penemuan EdgeStepper, menunjukkan tingkat kecanggihan baru dalam spionase siber. Dengan membajak proses pembaruan perangkat lunak, yang secara inheren dipercaya oleh pengguna, mereka dapat menyuntikkan backdoor SlowStepper ke mesin korban di mana pun di dunia.

Serangan ini menyoroti pentingnya memastikan semua perangkat jaringan terutama router terlindungi dengan kata sandi yang kuat dan perangkat lunak yang diperbarui secara teratur untuk mencegah penyerang mendapatkan pijakan awal.

Baca artikel lainnya: