Aitm

O grupo de ameaças conhecido como PlushDaemon tem utilizado uma backdoor de rede baseada em Go, chamada EdgeStepper, para realizar ataques do tipo adversário no meio (AitM). Essa técnica redireciona todas as consultas DNS para um nó malicioso, desviando o tráfego de atualizações de software de infraestruturas legítimas para servidores controlados pelos atacantes. Ativo desde pelo menos 2018, o PlushDaemon é considerado alinhado à China e tem como alvo entidades nos EUA, Nova Zelândia, Camboja, Hong Kong, Taiwan, Coreia do Sul e China continental. O grupo foi documentado pela ESET após um ataque à cadeia de suprimentos de um provedor de VPN sul-coreano, visando empresas de semicondutores e desenvolvimento de software. O EdgeStepper compromete dispositivos de rede, como roteadores, explorando falhas de segurança ou credenciais fracas. O malware possui dois componentes principais: um módulo distribuidor que resolve endereços IP e um componente chamado Ruler que configura regras de filtragem de pacotes. O ataque também visa softwares chineses, como o Sogou Pinyin, para entregar um DLL malicioso. A capacidade do PlushDaemon de comprometer alvos globalmente destaca a necessidade de vigilância e proteção contínua contra essas ameaças.

O grupo de ameaças conhecido como UNC6384, vinculado à China, tem sido responsável por uma série de ataques direcionados a diplomatas no Sudeste Asiático e outras entidades globais, com o objetivo de promover os interesses estratégicos de Pequim. A campanha, detectada em março de 2025, utiliza técnicas avançadas de engenharia social, incluindo certificados de assinatura de código válidos e ataques do tipo adversário-no-meio (AitM), para evitar a detecção. O ataque começa com um redirecionamento de portal cativo que desvia o tráfego da web para um site controlado pelo atacante, onde um downloader chamado STATICPLUGIN é baixado. Este downloader, que se disfarça como uma atualização de plugin da Adobe, instala um backdoor conhecido como SOGU.SEC, que permite a exfiltração de arquivos e o controle remoto do sistema. O uso de certificados válidos e técnicas de engenharia social sofisticadas demonstra a evolução das capacidades operacionais do UNC6384. Este tipo de ataque representa uma ameaça significativa, especialmente para organizações que operam em setores sensíveis, como diplomacia e segurança nacional.