Un grupo de amenaza persistente avanzada (APT) previamente indocumentado y alineado con China llamado peluchedaemon<\/strong> se ha relacionado con un ataque a la cadena de suministro dirigido a un proveedor de red privada virtual (VPN) de Corea del Sur en 2023, seg\u00fan nuevos hallazgos de ESET.<\/p>\n “Los atacantes reemplazaron el instalador leg\u00edtimo por uno que tambi\u00e9n implement\u00f3 el implante caracter\u00edstico del grupo al que llamamos SlowStepper: una puerta trasera rica en funciones con un conjunto de herramientas de m\u00e1s de 30 componentes”, dijo el investigador de ESET Facundo Mu\u00f1oz. dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News.<\/p>\n Se considera que PlushDaemon es un grupo nexo con China que ha estado operativo desde al menos 2019, dirigido a personas y entidades en China, Taiw\u00e1n, Hong Kong, Corea del Sur, Estados Unidos y Nueva Zelanda.<\/p>\n Para sus operaciones es fundamental una puerta trasera personalizada llamada SlowStepper, que se describe como un gran conjunto de herramientas que consta de alrededor de 30 m\u00f3dulos, programados en C++, Python y Go.<\/p>\n Otro aspecto crucial de sus ataques es el secuestro de canales leg\u00edtimos de actualizaci\u00f3n de software y la explotaci\u00f3n de vulnerabilidades en servidores web para obtener acceso inicial a la red objetivo. <\/p>\n La empresa eslovaca de ciberseguridad dijo que detect\u00f3 en mayo de 2024 un c\u00f3digo malicioso incrustado en el instalador NSIS para Windows descargado del sitio web de un proveedor de software VPN llamado IPany (“ipany[.]kr\/descargar\/IPanyVPNsetup.zip”).<\/p>\n La versi\u00f3n fraudulenta del instalador, que desde entonces se elimin\u00f3 del sitio web, est\u00e1 dise\u00f1ada para eliminar el software leg\u00edtimo y la puerta trasera SlowStepper. Actualmente no est\u00e1 claro qui\u00e9nes son los objetivos exactos del ataque a la cadena de suministro, aunque cualquier individuo o entidad que descargue el archivo ZIP con trampa explosiva podr\u00eda haber estado en riesgo.<\/p>\n Los datos de telemetr\u00eda recopilados por ESET muestran que varios usuarios intentaron instalar el software troyanizado en las redes asociadas con una empresa de semiconductores y una empresa de desarrollo de software no identificada en Corea del Sur. Las v\u00edctimas de mayor edad se registraron en Jap\u00f3n y Chia en noviembre y diciembre de 2023, respectivamente.<\/p>\n La cadena de ataque comienza con la ejecuci\u00f3n del instalador (“IPanyVPNsetup.exe”), que procede a establecer persistencia en el host entre reinicios y lanza un cargador (“AutoMsg.dll”) que, a su vez, es responsable de ejecutar el c\u00f3digo shell que carga otra DLL (“EncMgr.pkg”).<\/p>\n Posteriormente, la DLL extrae dos archivos m\u00e1s (“NetNative.pkg” y \u200b\u200b”FeatureFlag.pkg”) que se utilizan para descargar un archivo DLL malicioso (“lregdll.dll”) usando “PerfWatson.exe”, que es una versi\u00f3n renombrada de un utilidad leg\u00edtima de l\u00ednea de comandos llamada regcap.exe que forma parte de Microsoft Visual Studio.<\/p>\n El objetivo final de la DLL es cargar el implante SlowStepper desde el archivo winlogin.gif presente en FeatureFlag.pkg. Se cree que SlowStepper est\u00e1 en proceso desde enero de 2019 (versi\u00f3n 0.1.7), y la \u00faltima iteraci\u00f3n (0.2.12) se compil\u00f3 en junio de 2024.<\/p>\n “Aunque el c\u00f3digo contiene cientos de funciones, la variante particular utilizada en el compromiso de la cadena de suministro del software IPany VPN parece ser la versi\u00f3n 0.2.10 Lite, seg\u00fan el c\u00f3digo de la puerta trasera”, dijo Mu\u00f1oz. “La llamada versi\u00f3n “Lite” contiene menos funciones que otras versiones anteriores y m\u00e1s recientes.”<\/p>\n Tanto la versi\u00f3n completa como la Lite hacen uso de un amplio conjunto de herramientas escritas en Python y Go que permiten la recopilaci\u00f3n de datos y la vigilancia clandestina mediante la grabaci\u00f3n de audio y videos. Se dice que las herramientas est\u00e1n alojadas en la plataforma de repositorio de c\u00f3digos china. C\u00f3digo Git<\/a>.<\/p>\n En cuanto a comando y control (C&C), SlowStepper construye una consulta DNS para obtener un registro TXT para el dominio 7051.gsm.360safe[.]empresa a uno de los tres servidores DNS p\u00fablicos (114DNS, Google y Alibaba Public DNS) para obtener una serie de 10 direcciones IP, de las cuales se elige una para usarla como servidor C&C para procesar comandos emitidos por el operador.<\/p>\n “Si, despu\u00e9s de varios intentos, no logra establecer una conexi\u00f3n con el servidor, utiliza el API gethostbyname<\/a> en el dominio st.360safe[.]empresa para obtener la direcci\u00f3n IP asignada a ese dominio y utiliza la IP obtenida como su servidor C&C alternativo”, explic\u00f3 Mu\u00f1oz.<\/p>\n Los comandos abarcan una amplia gama, lo que le permite capturar informaci\u00f3n exhaustiva del sistema; ejecutar un m\u00f3dulo de Python; eliminar archivos espec\u00edficos; ejecutar comandos a trav\u00e9s de cmd.exe; enumerar el sistema de archivos; descargar y ejecutar archivos; e incluso desinstalarse solo. Una caracter\u00edstica bastante inusual de la puerta trasera es la activaci\u00f3n de un shell personalizado al recibir el comando “0x3A”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/PlushDaemon-APT-apunta-a-un-proveedor-de-VPN-de-Corea.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n