Was auf den ersten Blick wie ein gewöhnlicher Software-Update aussieht, entpuppt sich als perfider Spionageangriff: Forscher des europäischen IT-Sicherheitsherstellers ESET haben eine bisher unbekannte, seit 2019 aktive Kampagne der chinesischen Hackergruppe PlushDaemon aufgedeckt. Herzstück des ausgefeilten Angriffs ist EdgeStepper, ein neues Hacking-Werkzeug, das Router und andere Netzwerkgeräte manipuliert.
Besonders perfide ist dabei die Fähigkeit des Tools, DNS-Anfragen unbemerkt zu manipulieren und Software-Updates populärer Anwendungen auf Server der Angreifer umzuleiten. Experten sprechen hierbei von einer Adversary-in-the-Middle-Attacke (AitM). Das Ziel: die Installation weiterer Schadprogramme bis hin zum leistungsfähigen Spionage-Backdoor SlowStepper. Hiermit wollen die Hacker wertvolle Daten stehlen.
„EdgeStepper erkennt, welche DNS-Anfragen zu Software-Updates gehören, und lenkt die Update-Verbindung nahtlos auf den Hijacking-Server um – ohne dass Nutzer etwas bemerken“, erklärt ESET Forscher Facundo Muñoz, der den Angriff analysierte. „Mit diesem Werkzeug ist es PlushDaemon theoretisch möglich, Ziele auf der ganzen Welt effektiv anzugreifen.“
Angriffe weltweit – und auch gegen Ziele in China selbst
Seit 2019 hat PlushDaemon hochkarätige Ziele in den USA, Taiwan, Hongkong, Neuseeland, Kambodscha und sogar in China selbst ins Visier genommen. Betroffen waren unter anderem eine Universität in Beijing, ein taiwanesischer Elektronikhersteller, ein Unternehmen aus dem Automobilsektor in Kambodscha, sowie ein japanisches Fertigungsunternehmen.
Die Bandbreite der Opfer zeigt: Die Gruppe operiert nicht nur weltweit, sondern auch mit einem bemerkenswert langen Atem und einer erstaunlichen Präzision.
Angriffskette beginnt im Netzwerk – endet in vollständiger Systemkontrolle
PlushDaemon nutzt bekannte Schwachstellen oder schwache Standard-Passwörter, um Router und andere Netzwerkgeräte zu übernehmen. Einmal im System, beginnt eine perfekt orchestrierte Angriffskette:
- EdgeStepper kapert DNS-Anfragen und leitet Update-Traffic auf Highjacking-Server von PlushDaemon um.
- Der Hijacking-Server liefert manipulierte Downloader aus.
- LittleDaemon und DaemonicLogistics installieren schrittweise den Spionage-Baukasten SlowStepper.
„Diese Herangehensweise ist äußerst raffiniert. PlushDaemon hat auf diese Weise die Updates mehrerer beliebter chinesischer Softwareprodukten gekapert“, fügt Muñoz hinzu.
ESET rät Unternehmen, ihre Netzwerkgeräte aktuell zu halten und mit sicheren Passwörtern zu schützen. Somit können sie PlushDaemons Hauptangriffsvektor von vornherein schließen.
Was über PlushDaemon bekannt ist
Die chinesische Hackergruppe ist seit mindestens 2018 aktiv. Sie führt Spionageoperationen gegen Personen und Organisationen im ostasiatisch-pazifischen Raum und in den Vereinigten Staaten durch. Die hauseigene, benutzerdefinierte Backdoor SlowStepper kam schon häufiger zum Einsatz, beispielsweise Anfang 2025. Die Gruppe agiert so heimlich, dass sie die Installationsdateien legitimer Anwendungen gegen ihren Schadcode austauscht – sogar auf den Webseiten ihrer Entwickler.
Weitere Informationen zur aktuellen Kampagne und Hackergruppe gibt es im aktuellen Blogpost „Die Plüschdämonen schlagen zurück: Gekaperte Updates laden gefährliche Backdoor" auf Welivesecurity.com.