Dns Hijacking

O grupo de ameaças conhecido como PlushDaemon tem utilizado uma backdoor de rede baseada em Go, chamada EdgeStepper, para realizar ataques do tipo adversário no meio (AitM). Essa técnica redireciona todas as consultas DNS para um nó malicioso, desviando o tráfego de atualizações de software de infraestruturas legítimas para servidores controlados pelos atacantes. Ativo desde pelo menos 2018, o PlushDaemon é considerado alinhado à China e tem como alvo entidades nos EUA, Nova Zelândia, Camboja, Hong Kong, Taiwan, Coreia do Sul e China continental. O grupo foi documentado pela ESET após um ataque à cadeia de suprimentos de um provedor de VPN sul-coreano, visando empresas de semicondutores e desenvolvimento de software. O EdgeStepper compromete dispositivos de rede, como roteadores, explorando falhas de segurança ou credenciais fracas. O malware possui dois componentes principais: um módulo distribuidor que resolve endereços IP e um componente chamado Ruler que configura regras de filtragem de pacotes. O ataque também visa softwares chineses, como o Sogou Pinyin, para entregar um DLL malicioso. A capacidade do PlushDaemon de comprometer alvos globalmente destaca a necessidade de vigilância e proteção contínua contra essas ameaças.