Threats
O malware redireciona tráfego de atualizações via DNS malicioso, permitindo sequestro de software e distribuição de ferramentas de ciberespionagem em múltiplos países desde 2019
29/11/2025
|
Investigadores da ESET descobriram um novo implante (malware persistente instalado no dispositivo) não documentado anteriormente, denominado EdgeStepper, utilizado pelo grupo de ameaças alinhado com a China, PlushDaemon. Este implante está a ser utilizado para realizar ataques sofisticados do tipo “man-in-the-middle” em dispositivos de rede. O principal objetivo do EdgeStepper é redirecionar todo o tráfego de atualizações de software para uma infraestrutura controlada pelos atacantes, permitindo-lhes comprometer alvos em qualquer parte do mundo através de uma cadeia de infeção complexa. O ataque começa com o comprometimento de um dispositivo de rede, ao qual o alvo se pode ligar para explorar vulnerabilidades ou credenciais administrativas fracas/padrão, permitindo que os invasores implantem o EdgeStepper. Uma vez implementado, o EdgeStepper redireciona todas as consultas DNS para um servidor externo malicioso. Depois, o nó DNS malicioso verifica se o domínio da mensagem de consulta está relacionado com atualizações de software e, caso esteja, o nó malicioso responde com o endereço IP de outro nó que realiza o sequestro das atualizações. Em alguns casos, o mesmo servidor atua como nó DNS e nó de sequestro. “A partir daí, o EdgeStepper começa a redirecionar as consultas DNS para um nó DNS malicioso que verifica se o domínio na mensagem de consulta DNS está relacionado com atualizações de software e, em caso afirmativo, responde com o endereço IP do nó de sequestro”, refere Facundo Muñoz, um dos investigadores da ESET que analisou o ataque. O sequestro do tráfego de atualizações permite ao PlushDaemon implementar os dowloaders LittleDaemon e DaemonicLogistics em máquinas específicas e, por fim, distribuir o implante SlowStepper. O SlowStepper é um kit de ferramentas backdoor com dezenas de componentes usados para ciberespionagem. Estes implantes dão ao PlushDaemon a capacidade de manter o controlo e extrair informações confidenciais dos seus alvos. Desde 2019, o grupo alinhado com a China lançou ataques nos Estados Unidos, Nova Zelândia, Camboja, Hong Kong, Taiwan e na própria China continental. Entre as vítimas estavam uma universidade em Pequim, uma empresa taiwanesa que fabrica produtos eletrónicos, uma empresa do setor automóvel e uma filial de uma empresa japonesa do setor industrial. |
Receba todas as novidades na sua caixa de correio!
THREATS
ClickFix utiliza DNS para entregar malware
NEWS
IA e identidade redefinem ameaças em 2026
THREATS
Botnet SSHStalker infeta sete mil sistemas Linux
NEWS
UE quer reforçar proteção de infraestruturas contra ameaças cibernéticas e híbridas
NEWS
Ameaças a API crescem com expansão da IA
THREATS
PoC confirma exploração ativa de zero-day no Chrome
THREATS
Volume de novo malware dispara 1.548% e contorna defesas
THREATS
Novo malware infeta milhares de dispositivos Android
THREATS
Plataformas de IA utilizadas para ocultar canais de comando maliciosos
THREATS
Falhas zero-day afetam plataformas PDF
