Eine von Sicherheitsforschern ESET analysierte Kampagne der mutmasslichen APT-Gruppe PlushDaemon zeigt, wie gefährlich der Missbrauch von Software-Update-Mechanismen geworden ist. Anstatt Nutzer direkt anzugreifen, kompromittieren die Täter Router, kapern den Update-Traffic ausgewählter Anwendungen und schleusen über diesen Kanal Spionage-Malware ein.
PlushDaemon als langfristige Cyberspionage-Kampagne
Nach Einschätzung von ESET ist PlushDaemon seit mindestens 2018 aktiv. Die Angriffe richten sich sowohl gegen Privatpersonen als auch gegen Organisationen in USA, China, Taiwan, Hongkong, Südkorea und Neuseeland. Dieser geografische Fokus und die Auswahl der Ziele sprechen deutlich für Cyberspionage statt für breit angelegte, finanziell motivierte Kampagnen.
Betroffen sind unter anderem Elektronikhersteller, Universitäten sowie ein Werk eines grossen japanischen Automobilkonzerns in Kambodscha. Infrastruktur, Taktiken und Zielauswahl weisen laut ESET auf einen möglichen Bezug nach China hin, eine formelle staatliche Attribution gibt es jedoch nicht. Solche Unklarheiten sind bei professionellen Spionageoperationen typisch, da Angreifer ihre Herkunft gezielt verschleiern.
Technische Angriffskette: Von der Router-Schwachstelle zum persistierenden Backdoor
EdgeStepper: Adversary-in-the-Middle über gehackte Router
Herzstück der Operation ist die Kompromittierung von Netzwerkperipherie. PlushDaemon nutzt bekannte Sicherheitslücken in Routern oder schwache, oft noch werkseitige Zugangsdaten, um die Geräte zu übernehmen. Nach erfolgreichem Zugriff installieren die Angreifer die in Go entwickelte Malware EdgeStepper als ELF-Binary auf dem Router.
EdgeStepper implementiert ein Adversary-in-the-Middle-Szenario, indem es DNS-Anfragen abfängt und analysiert. Nur wenn die Anfrage zu bestimmten Update-Domains gehört, wird sie an eine von den Angreifern kontrollierte DNS-Infrastruktur umgeleitet. Auf diese Weise gelangen ausschliesslich Software-Updates ausgewählter Anwendungen unter die Kontrolle von PlushDaemon, während der übrige Traffic unauffällig weiterläuft.
Missbrauch legitimer Software-Updates als Einfallstor
Laut ESET setzt PlushDaemon seit etwa 2019 konsequent auf diesen Ansatz des Update-Hijackings. Im Ergebnis ähnelt der Effekt bekannten Supply-Chain-Angriffen wie SolarWinds oder CCleaner, auch wenn der technische Weg ein anderer ist: Statt Build- oder Distributionssysteme der Hersteller anzugreifen, wird der Netzwerkpfad der Updates manipuliert.
In der aktuellen Kampagne beobachten die Forscher unter anderem die Manipulation von Updates des in China weit verbreiteten Eingabesystems Sogou Pinyin. Weitere betroffene Programme werden aus OpSec-Gründen nicht namentlich genannt. Für Betroffene wirkt der Prozess wie ein normales, vertrauenswürdiges Update – tatsächlich lädt der Client jedoch einen präparierten Installer mit Schadcode.
Mehrstufige Malware-Kette: LittleDaemon, DaemonicLogistics und SlowStepper
Wird das manipulierte „Update“ auf dem Zielsystem gestartet, gelangt zunächst ein Loader der ersten Stufe zur Ausführung: LittleDaemon, getarnt als DLL popup_4.2.0.2246.dll. Dieser Loader verbindet sich mit der von EdgeStepper umgeleiteten Infrastruktur und lädt das nächste Modul nach.
Das zweite Modul DaemonicLogistics wird im Speicher entschlüsselt und direkt in-memory ausgeführt, was seine Erkennung durch klassische Signatur-Scanner erschwert. Seine Aufgabe besteht darin, den eigentlichen Backdoor SlowStepper abzulegen, zu entschlüsseln und zu aktivieren – das zentrale Werkzeug für den dauerhaften Zugriff der Angreifer.
SlowStepper: Vollwertiger Spionage-Backdoor mit Modul-Architektur
SlowStepper bietet ein breites Funktionsspektrum: Systeminventarisierung, Dateiverwaltung, Remote Command Execution sowie die Möglichkeit, zusätzliche Module nachzuladen. Über Python-basierte Erweiterungen kann der Backdoor unter anderem Browserdaten auslesen, Tastatureingaben mitschneiden und Zugangsdaten exfiltrieren.
ESET hat SlowStepper bereits früher in Angriffen gegen Nutzer des südkoreanischen VPN-Dienstes IPany beobachtet. Damals wurde der offizielle Website-Installer des Dienstes kompromittiert. Die aktuelle Kampagne mit EdgeStepper entwickelt dieses Konzept weiter, indem sie nicht einen einzelnen Anbieter, sondern den Netzwerkpfad von Updates generell ins Visier nimmt – und damit potenziell eine Vielzahl von Anwendungen.
Globale Risiken durch Router-Hijacking und manipulierte Updates
Die von PlushDaemon genutzte Adversary-in-the-Middle-Fähigkeit auf Routern stellt eine strukturelle Bedrohung dar. Wer den Update-Traffic kontrolliert, kann in vielen Fällen Perimeter-Schutz, E-Mail-Filter und klassische Phishing-Abwehr umgehen. Unternehmen vertrauen in der Regel ihren Update-Mechanismen – genau dieses Vertrauen wird hier ausgenutzt.
Besonders kritisch ist, dass sich der Ansatz sektoren- und länderübergreifend anwenden lässt: Von Office-Systemen über Forschungsumgebungen bis hin zu Industrieanlagen – überall dort, wo verwundbare Router im Einsatz sind und Software auf automatische Updates setzt, eröffnet sich ein möglicher Angriffsweg. Europäische Stellen wie ENISA und Berichte wie der Verizon Data Breach Investigations Report weisen seit Jahren darauf hin, dass Schwachstellen in der Lieferkette und in der Netzwerkinfrastruktur zu den wichtigsten Einfallstoren für Spionagekampagnen gehören.
Empfohlene Sicherheitsmassnahmen gegen Update-Hijacking
Um sich gegen Kampagnen wie PlushDaemon zu schützen, ist ein mehrschichtiger Ansatz erforderlich, der sowohl Netzwerkinfrastruktur als auch Update-Prozesse absichert:
1. Härtung von Routern und Netzwerkgeräten: Firmware zeitnah aktualisieren, nicht benötigte Remote-Management-Funktionen deaktivieren, komplexe individuelle Passwörter verwenden und veraltete oder nicht mehr unterstützte Modelle ersetzen.
2. Kontrolle von DNS und Update-Traffic: Einsatz vertrauenswürdiger, möglichst validierender DNS-Resolver (z.B. mit DNSSEC-Unterstützung), Monitoring auf ungewöhnliche DNS-Anfragen und Überprüfung der Ziel-Domains, von denen Updates kritischer Systeme bezogen werden.
3. Integritätsprüfung von Updates: Verifikation von digitalen Signaturen, Nutzung ausschliesslich offizieller Repositories und strikte Allowlists auf Firewall- oder Proxy-Ebene, die nur bekannte Update-Server zulassen.
4. Netzwerk-Monitoring und EDR: Moderne EDR- und NDR-Lösungen (Endpoint/Network Detection & Response) können das Laden unbekannter Binaries, verdächtige In-Memory-Aktivitäten und auffällige Verbindungen zu Command-and-Control-Infrastrukturen frühzeitig erkennen.
5. Supply-Chain-Sicherheit bei Softwareherstellern: Anbieter sollten ihre Build- und Update-Infrastruktur regelmässig auditieren, Code-Signing-Prozesse absichern und Telemetrie nutzen, um Anomalien im Update-Verhalten der Clients zu identifizieren.
Die PlushDaemon-Kampagne unterstreicht, dass Router, Heim- und Edge-Geräte sowie Update-Mechanismen heute zu den zentralen Angriffspunkten im Cyberraum zählen. Organisationen, die stark auf automatische Updates setzen, sollten ihre Prozesse überprüfen, technische Schutzmassnahmen ergänzen und Mitarbeitende für die Risiken manipulierter Updates sensibilisieren. Wer jetzt in Transparenz über den Netzwerkverkehr und in die Härtung seiner Infrastruktur investiert, senkt das Risiko, langfristig und unbemerkt Opfer vergleichbarer Cyberspionage-Operationen zu werden.
