گروه APT چینی موسوم به PlushDaemon با حمله زنجیره تامین که ارائهدهنده VPN کره جنوبی را در سال 2023 هدف قرار میداد، مرتبط است.
براساس یافتههای ESET، نفوذگران PlushDaemon با استفاده از نسخه نصبکننده مخرب، اقدام به جاسازی دربپشتی اختصاصی خود به نام ‘SlowStepper‘ کردند که منجر به آلودگی سیستمهای مشتریان هنگام نصب VPN شد. در واقع مرکز عملیات PlushDaemon دربپشتی SlowStepper است که به عنوان یک تولکیت بزرگ متشکل از حدود 30 ماژول، برنامهریزی شده در ++C، پایتون و Go توصیف میشود. یکی دیگر از جنبههای مهم حملات، هایجک کانالهای بهروزرسانی نرمافزار قانونی و اکسپلویت از آسیبپذیریها در وبسرورها برای دسترسی اولیه به شبکه هدف است.
https://www.welivesecurity.com/en/eset-research/plushdaemon-compromises-supply-chain-korean-vpn-service/
