گروه APT چینی موسوم به PlushDaemon با حمله زنجیره تامین که ارائهدهنده VPN کره جنوبی را در سال 2023 هدف قرار میدهد، مرتبط است.
براساس یافتههای ESET، هکرها نصبکننده قانونی را با نصبکنندهای جایگزین کردند که ایمپلنت امضای گروه به نام SlowStepper – یک درب پشتی با قابلیتهای متعدد و یک تولکیت با بیش از 30 مولفه به کار بردند. مرکز عملیات PlushDaemon یک دربپشتی سفارشی به نام SlowStepper است که به عنوان تولکیت بزرگ متشکل از حدود 30 ماژول، برنامهریزی شده در C++، پایتون و Go توصیف میشود. یکی دیگر از جنبههای مهم حملات، هایجک کانالهای بهروزرسانی نرمافزار قانونی و اکسپلویت از آسیبپذیریها در وبسرورها برای دسترسی اولیه به شبکه هدف است. نسخه مخرب نصبکننده که از آن زمان از وب سایت حذف شده است، برای دراپ نرم افزار قانونی و همچنین درب پشتی SlowStepper طراحی شده است.
https://www.welivesecurity.com/en/eset-research/plushdaemon-compromises-supply-chain-korean-vpn-service/
