Saldırılar güncelleme trafiğini hedef alıyor

Haber Merkezi fotoğrafı Haber Merkezi24 Kasım 2025
ESET

Siber güvenlik şirketi ESET, Çin ile bağlantılı tehdit grubu PlushDaemon’un daha önce belgelenmemiş bir ağ cihazı implantı kullanarak yazılım güncellemelerini manipüle ettiğini açıkladı. EdgeStepper adı verilen bu implant, ortadaki adam saldırılarıyla cihazların DNS sorgularını kötü amaçlı sunuculara yönlendiriyor.

Saldırılar güncelleme trafiğini hedef alıyor

ESET’in tespitlerine göre EdgeStepper, tüm DNS sorgularını saldırganların belirlediği harici bir DNS sunucusuna yönlendiriyor. Bu sunucu, yazılım güncellemeleriyle ilişkili alan adlarını tespit ederek sorguları kaçırma düğümlerine yönlendiriyor ve hedef cihazlara LittleDaemon ile DaemonicLogistics indiricilerini yüklüyor. Nihai aşamada SlowStepper adı verilen ve çok sayıda bileşene sahip bir arka kapı implantı dağıtılıyor.

SlowStepper’ın gelişmiş casusluk modülleri, PlushDaemon’un dünya genelinde hedefleri uzaktan kontrol etmesine olanak tanıyor. Bu implant zincirinin, grubun siber casusluk operasyonlarında uzun süredir aktif şekilde kullanıldığı belirtiliyor.

Hedef alınan ülkeler ve kuruluşlar

ESET, PlushDaemon’un 2019’dan bu yana Amerika Birleşik Devletleri, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan ve Çin’de saldırılar gerçekleştirdiğini bildirdi. Saldırıların hedefleri arasında Pekin’de bir üniversite, Tayvan merkezli bir elektronik üreticisi, otomotiv sektöründe faaliyet gösteren bir şirket ve Japonya’daki bir üretim firmasının şubesi yer alıyor.

ESET: Zafiyetler veya varsayılan parolalar üzerinden erişim sağlanıyor

Saldırıyı analiz eden ESET araştırmacısı Facundo Muñoz, saldırıların ilk aşamasında PlushDaemon’un hedeflerin bağlandığı ağ cihazlarını ele geçirdiğini belirtti. Muñoz, bu aşamada cihaz yazılımındaki güvenlik açıklarının veya zayıf yönetici parolalarının kullanıldığını ifade etti.

EdgeStepper’ın, güncellemelerle ilgili alan adlarını doğrulayan kötü amaçlı bir DNS düğümüne sorguları yönlendirdiğini belirten Muñoz, bazı sunucuların hem DNS hem de kaçırma düğümü olarak görev yaptığını da aktardı. ESET, birkaç popüler Çin yazılım ürününün güncellemelerinin bu yöntemle ele geçirildiğini tespit etti.

PlushDaemon’un geçmişi

En az 2018’den bu yana aktif olduğu belirlenen PlushDaemon’un Doğu Asya-Pasifik bölgesi ile Amerika Birleşik Devletleri’nde çeşitli birey ve kuruluşlara yönelik casusluk faaliyetleri yürüttüğü biliniyor. Grup, ESET’in SlowStepper adıyla izlediği özel bir arka kapı kullanıyor.

Geçmiş saldırılarda web sunucularındaki güvenlik açıklarını hedef aldığı bilinen PlushDaemon’un, 2023 yılında bir tedarik zinciri saldırısı gerçekleştirdiği de ESET kayıtlarında yer alıyor.

Video: TECNO CAMON 30 Pro 5G ile ilk karşılaşma

Yeni videolar için buradan abone olun!

Haber Merkezi fotoğrafı Haber Merkezi24 Kasım 2025