Chama-se PlushDaemon e é um novo grupo do tipo APT (Advanced Persistent Threat, ou Ameaça Persistente Avançada, em português) descoberto pelos investigadores da ESET. O grupo está ativo pelo menos desde 2019 e tem ligações à China, estando envolvido em operações de ciberespionagem contra indivíduos e entidades na China, Taiwain, Hong Kong, Coreia do Sul, Estados Unidos e Nova Zelândia.

De acordo com a empresa de cibersegurança, os cibercriminosos usam a interferência em atualizações legítimas de aplicações chinesas como principal vetor de acesso inicial. No entanto, foi agora identificado um novo ataque contra um popular serviço sul-coreano de VPN.

Citado em comunicado, Facundo Muñoz, investigador responsável pela descoberta, explica que, em maio do ano passado, foi detetado “código malicioso num instalador NSIS para Windows” que tinha sido descarregado por utilizadores da Coreia do Sul a partir do website de um serviço de VPN legítimo, chamado IPany.

Uma análise mais aprofundada permitiu descobrir que este instalador implementava tanto o software legítimo como uma backdoor. A ESET notificou os criadores do serviço de VPN, que removeram o instalador malicioso do seu website.

A backdoor em questão, que os investigadores apelidaram SlowStepper, tem capacidade para descarregar e executar dezenas de módulos com funcionalidades de espionagem. O malware recolhe uma variedade de dados de diferentes navegadores online e é capaz de captar imagens e áudio, procurar documentos, recolher informação de várias aplicações (incluindo apps de mensagens como WeChat e Telegram) e roubar credenciais de acesso.

Além da interferência em atualizações legítimas de aplicações chinesas, de forma a redirecionar o tráfego para servidores controlados pelos atacantes, o grupo PlushDaemon também ganha acesso aos sistemas que pretende atacar através da exploração de vulnerabilidades em servidores web legítimos.

"Os inúmeros componentes no conjunto de ferramentas do PlushDaemon, e o seu vasto histórico de versões, mostram que, embora desconhecido anteriormente, este grupo APT alinhado à China tem trabalhado diligentemente para desenvolver diversas ferramentas, tornando-o uma ameaça significativa a ser monitorizada", realça Facundo Muñoz.