• ESET Research ontdekte de Chinese dreigingsgroep PlushDaemon die aanvallen uitvoert waarbij de ‘adversary-in-the-middle’ techniek wordt gebruikt met een nog niet gedocumenteerd implantaat, door ESET EdgeStepper genoemd.
• Het leidt verkeer om van de legitieme infrastructuur die gebruikt wordt voor software-updates naar de infrastructuur die door de aanvallers gecontroleerd wordt.
• De updates van Chinese software werden door PlushDaemon gekaapt via EdgeStepper met cyberspionage als doel.
MONTREAL, BRATISLAVA, 19 november 2025 — ESET Research ontdekte dat de aan China gelinkte PlushDaemon-dreigingsgroep ‘adversary-in-the-middle’-aanvallen uitvoert waarbij een nog niet gedocumenteerde implantaat voor netwerktoestellen werd gebruikt, door ESET EdgeStepper genoemd. Deze leidt alle DNS-query’s om naar een kwaadaardige externe DNS-server die antwoordt met het adres van een ander knooppunt dat de updates kaapt met als doel het verkeer van software-updates om te leiden naar een door de aanvaller beheerde infrastructuur. Dit om de downloaders LittleDaemon en DaemonicLogistics te installeren op doelmachines en uiteindelijk het SlowStepper-implantaat te verspreiden. SlowStepper is een backdoor-toolkit met tientallen componenten die voor cyberspionage worden gebruikt. Deze implantaten geven PlushDaemon de mogelijkheid om wereldwijd doelwitten te compromitteren.
Sinds 2019 heeft deze aan China gelinkte groep aanvallen uitgevoerd in de Verenigde Staten, Nieuw-Zeeland, Cambodja, Hongkong, Taiwan en China zelf. Onder de slachtoffers bevonden zich een universiteit in Peking, een Taiwanees elektronicabedrijf, een bedrijf in de auto-industrie en een vestiging van een Japans bedrijf in de maakindustrie.
PlushDaemon infecteert, zoals in de ontdekte aanval, eerst een netwerktoestel waarmee het doelwit verbinding zou kunnen maken. Deze infectie gebeurt wellicht door een kwetsbaarheid te misbruiken in de software op het toestel of via zwakke en/of bekende standaard beheerdersinloggegevens, zodat de aanvallers EdgeStepper (en wellicht ook andere tools) kunnen installeren.
“Vervolgens begint EdgeStepper DNS-query’s om te leiden naar een kwaadaardig DNS-knooppunt dat controleert of het domein in het DNS-querybericht gerelateerd is aan software-updates. Zo ja, dan antwoordt het met het IP-adres van het kapende knooppunt. We zagen ook dat sommige servers zowel het DNS-knooppunt als het kapende knooppunt zijn. Het DNS-knooppunt antwoordt dan op DNS-query’s met zijn eigen IP-adres”, aldus Facundo Muñoz, de ESET-onderzoeker die de aanval ontdekte en analyseerde. Hij voegt eraan toe: “Meerdere populaire Chinese softwareproducten werden via EdgeStepper op die manier door PlushDaemon gekaapt “.
PlushDaemon is een aan China gelinkte cybercrimineel die minstens sinds 2018 actief is en spionageoperaties uitvoert tegen individuen en entiteiten in Oost-Azië en de Stille Oceaan alsook de Verenigde Staten. Het gebruikt een aangepaste backdoor die ESET erkent als SlowStepper. In het verleden heeft ESET Research waargenomen dat de groep toegang kreeg via kwetsbaarheden in webservers en in 2023 voerde het een supply chain-aanval uit.
Lees voor een meer gedetailleerde analyse van de laatste PlushDaemon-activiteiten de nieuwste ESET Research-blog “PlushDaemon compromises network devices for adversary-in-the-middle attacks” op www.WeLiveSecurity.com. Volg ook ESET Research op Twitter (today known as X), BlueSky en Mastodon voor de nieuwste info over ESET Research.
Over ESET
ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen nog voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET opkomende wereldwijde cyberbedreigingen voor, zowel bekende als onbekende, en beveiligt het bedrijven, kritieke infrastructuur en individuen. Of het nu gaat het om endpoint-, cloud- of mobiele beveiliging, zijn ESET’s AI-native, cloud-first oplossingen en services zeer efficiënt en gebruiksvriendelijk. ESET-technologie omvat robuuste detectie en respons, ultraveilige encryptie en multi-factor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houdt ESET de gebruikers veilig en bedrijven draaiende en dit zonder onderbreking. Het constant veranderende digitale landschap vraagt om een progressieve benadering van de beveiliging. ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.
Meer lezen
