Una campaña internacional de ciberespionaje atribuida al grupo PlushDaemon está demostrando hasta qué punto pueden explotarse los mecanismos de actualización de software para tomar el control silencioso de equipos y redes. Investigadores de ESET han documentado una operación en la que los atacantes comprometen routers, desvían el tráfico de actualización y lo redirigen a su propia infraestructura mediante el malware EdgeStepper.
Campaña de ciberespionaje PlushDaemon: alcance geográfico y tipo de víctimas
Según ESET, la actividad de PlushDaemon se remonta al menos a 2018. La operación no se limita a un solo país: se han identificado víctimas en Estados Unidos, China, Taiwán, Hong Kong, Corea del Sur y Nueva Zelanda, abarcando tanto usuarios domésticos como organizaciones.
Entre los objetivos se encuentran fabricantes de electrónica, universidades e incluso una planta de un importante fabricante japonés de automóviles en Camboya. Este perfil, centrado en sectores estratégicos y no en el fraude masivo, encaja con una campaña de ciberespionaje dirigida más que con ataques puramente financieros.
La combinación de infraestructura observada, tácticas y elección de víctimas sugiere un posible vínculo con APT con origen en China, aunque, como es habitual en operaciones complejas de espionaje, no existe por el momento una atribución oficial a nivel estatal.
Cadena de ataque: de un router vulnerable al control total del sistema
Compromiso de routers y ataque adversary-in-the-middle con EdgeStepper
El punto de entrada de la campaña PlushDaemon es la periferia de red. Los atacantes explotan vulnerabilidades conocidas en routers o abusan de contraseñas débiles y valores por defecto para obtener acceso administrativo. Una vez dentro, despliegan EdgeStepper, un componente malicioso escrito en Go y distribuido como binario ELF.
EdgeStepper implementa un modelo adversary-in-the-middle (AitM): intercepta las peticiones DNS, verifica qué dominios se están resolviendo y, si coinciden con dominios de actualización de determinados programas, redirige las consultas a un servidor DNS bajo control del atacante. De este modo, el tráfico de actualización deja de ir a los servidores legítimos y pasa por la infraestructura de PlushDaemon.
Abuso de los mecanismos de actualización de software
Desde aproximadamente 2019, PlushDaemon se ha centrado casi por completo en la intercepción de actualizaciones de software, una táctica que, aunque distinta en lo técnico, recuerda a incidentes de supply chain como SolarWinds o CCleaner, donde se abusó de la confianza en los canales de actualización.
ESET ha observado, por ejemplo, la manipulación de las actualizaciones del popular método de entrada chino Sogou Pinyin, además de otros productos no revelados. Para la víctima, el proceso se percibe como una actualización normal, pero el paquete descargado está troyanizado y contiene el siguiente eslabón de la cadena de infección.
LittleDaemon, DaemonicLogistics y SlowStepper: cadena de infección en varias fases
Cuando el usuario ejecuta la supuesta actualización, en lugar del componente legítimo se carga un cargador de primera fase denominado LittleDaemon, camuflado como la DLL popup_4.2.0.2246.dll. Este módulo se comunica con el servidor controlado por el atacante y descarga el siguiente componente, DaemonicLogistics.
Ejecución en memoria y evasión de defensas tradicionales
DaemonicLogistics se descifra y ejecuta directamente en memoria (fileless execution), lo que dificulta la detección por soluciones antivirus basadas únicamente en firmas. Su función principal es desplegar la carga útil final: un backdoor personalizado llamado SlowStepper, pieza central del mecanismo de persistencia de PlushDaemon.
Capacidades del backdoor SlowStepper y robo de información
El backdoor SlowStepper ofrece a los atacantes un amplio abanico de capacidades: inventariado completo del sistema, gestión y exfiltración de archivos, y ejecución remota de comandos. Además, puede descargar y ejecutar módulos adicionales escritos en Python para funciones de espionaje avanzadas, como robo de credenciales de navegadores, keylogging y extracción de datos sensibles.
Este mismo backdoor ya se había observado en ataques anteriores contra usuarios del servicio VPN surcoreano IPany, donde se comprometió el sitio oficial del proveedor y los usuarios descargaban instaladores ya infectados. La campaña actual amplía este modelo al no depender de un único proveedor, sino de la intercepción del tráfico de actualización a través de routers comprometidos.
Riesgos estratégicos de la intercepción de actualizaciones de software
Las capacidades de PlushDaemon para ejecutar ataques adversary-in-the-middle sobre infraestructuras de actualización convierten este vector en una amenaza global. Al secuestrar actualizaciones de software, los atacantes pueden:
- Evitar el phishing y otros vectores tradicionales, aprovechando canales legítimos y de confianza.
- Ocultarse en tráfico de red aparentemente normal, prolongando su permanencia sin ser detectados.
- Afectar tanto a entornos corporativos como a infraestructuras industriales que dependan de software vulnerable a este tipo de manipulación.
La infraestructura de actualización se convierte así en un activo crítico de ciberseguridad. Una brecha en un router o una validación insuficiente de actualizaciones puede desembocar en un compromiso silencioso y de largo plazo de toda una organización.
Medidas de ciberseguridad para mitigar ataques a actualizaciones de software
La defensa frente a campañas como PlushDaemon exige combinar buenas prácticas de red, endurecimiento de equipos y una supervisión constante de la actividad anómala.
- Proteger routers y dispositivos de red: actualizar firmware de forma regular, desactivar accesos remotos innecesarios, emplear contraseñas únicas y robustas, y retirar modelos obsoletos sin soporte.
- Controlar DNS y tráfico de actualización: monitorizar consultas DNS inusuales, utilizar resolvers protegidos y validar los dominios desde los que se actualizan sistemas críticos.
- Verificar la integridad de las actualizaciones: comprobar firmas digitales, usar repositorios oficiales y limitar los orígenes de actualización mediante listas blancas a nivel de cortafuegos.
- Implementar monitorización y EDR: desplegar soluciones que detecten ejecución en memoria, binarios desconocidos y conexiones sospechosas hacia infraestructuras externas.
- Refuerzo de la cadena de suministro de software: los proveedores deben auditar su infraestructura de actualización, reforzar sus procesos de compilación y aplicar prácticas de desarrollo seguro.
Las técnicas empleadas por PlushDaemon, apoyadas en EdgeStepper y SlowStepper, evidencian que el perímetro de seguridad ya no se limita a servidores y equipos de trabajo: routers domésticos, dispositivos periféricos y sistemas de actualización automática son hoy puntos de ataque prioritarios. Reforzar la seguridad de la infraestructura de red, validar de forma estricta las actualizaciones y mejorar la visibilidad sobre el tráfico que entra y sale de la organización son pasos esenciales para reducir la superficie de exposición frente a campañas de ciberespionaje avanzadas. Invertir ahora en estos controles puede marcar la diferencia entre un entorno resiliente y una brecha silenciosa y prolongada en el tiempo.
