Thought Leadership
Forscher des IT-Sicherheitsunternehmens ESET haben eine bislang unbekannte Advanced Persistent Threat (APT)-Gruppe identifiziert, die mit China in Verbindung steht. Unter dem Namen PlushDaemon agiert die Gruppe offenbar seit mindestens 2019 und führt hochentwickelte Cyberspionage-Angriffe durch.
Ihre Hauptwaffe: das Hacking-Tool SlowStepper, mit dem sie gezielt Windows-Computer attackieren. Opfer der Angriffe sind sowohl Privatpersonen als auch Unternehmen in Ostasien, den USA und Neuseeland.
Schadsoftware als blinder Passagier
PlushDaemon setzt auf ausgeklügelte Methoden, um Zugang zu sensiblen Daten zu erhalten. Besonders heimtückisch: Die Hacker manipulieren legitime Updates verschiedener chinesischer Anwendungen, indem sie den Datenverkehr auf ihre eigenen Server umleiten. Nutzer, die ein Update herunterladen wollen, installieren stattdessen unbewusst die Backdoor SlowStepper.
Diese digitale Hintertür ist äußerst vielseitig. Sie sammelt Daten aus Webbrowsern, erstellt Screenshots, sucht nach Dokumenten und greift Informationen aus verschiedenen Anwendungen wie Messaging-Apps ab. Auch Passwortinformationen werden gezielt gestohlen.
„Die Vielzahl der Komponenten von PlushDaemon zeigt, wie ernst diese neue Bedrohung ist“, warnt ESET-Forscher Facundo Muñoz, der hinter der Entdeckung von PlushDaemon und SlowStepper steckt. „Außerdem wird die Malware ständig aktualisiert und damit immer gefährlicher.“
VPN-Nutzer in Südkorea als Ziel
Besonders alarmierend ist die gezielte Attacke auf Nutzer des beliebten südkoreanischen VPN-Dienstes IPany. Die Angreifer ersetzten die reguläre Installationsdatei auf der offiziellen Website des Anbieters durch ein kompromittiertes Datenpaket. Dieses enthielt sowohl die legitimen Installationsdateien als auch die Backdoor SlowStepper.
„Im Mai 2024 entdeckten wir Schadcode in einem Installationsprogramm für Windows, das Nutzer aus Südkorea von der Website der legitimen VPN-Software IPany heruntergeladen hatten. Bei einer tieferen Analyse stellten wir fest, dass der Installer sowohl die legitime Software als auch die Backdoor installierte“, erklärt ESET-Forscher Facundo Muñoz, der PlushDaemon und SlowStepper aufgespürt hat. „Wir haben uns mit dem Entwickler der VPN-Software in Verbindung gesetzt, um ihn über die Kompromittierung zu informieren. Der bösartige Installer wurde sofort von der Website entfernt.“
Die offenen Fragen
Wie es PlushDaemon gelang, das manipulierte Installationspaket auf die Website des VPN-Anbieters hochzuladen, bleibt bislang unklar. Die Entdeckung der Gruppe wirft jedoch ein neues Licht auf die zunehmende Komplexität moderner Cyberangriffe.
Mit ihrer kontinuierlichen Weiterentwicklung und den gezielten Angriffen stellt PlushDaemon eine ernsthafte Bedrohung dar. ESET ruft Nutzer dazu auf, Updates nur von vertrauenswürdigen Quellen zu beziehen und verdächtige Aktivitäten sofort zu melden.
Die Forschungen zu PlushDaemon und SlowStepper gehen weiter – denn es ist klar, dass die Gruppe ihre Angriffe noch lange nicht eingestellt hat.
Weitere Informationen gibt es im aktuellen Blogpost „Angriff der Plüschdämonen“ auf Welivesecurity.com.
(vp/ESET Deutschland GmbH)
