Neue Hackergruppe geht auf Beutezug

Jena (pts005/22.01.2025/07:15) - Forscher des IT-Sicherheitsherstellers ESET haben eine bislang unbekannte Advanced Persistent Threat (APT)-Gruppe entdeckt: "PlushDaemon" steht in Verbindung mit China und ist seit mindestens 2019 aktiv. Die Hacker führen mit ihrem Hacking-Tool "SlowStepper" ausgeklügelte Cyberspionage-Angriffe auf Windows-Computer durch. Bei ihren Angriffen erbeuteten sie wertvolle Informationen von Privatpersonen und Unternehmen in Ostasien, den USA und Neuseeland.

Schadsoftware kommt als Trittbrettfahrer ins System

PlushDaemon bedient sich verschiedener fieser Tricks, um an Daten zu gelangen. So manipulieren die Hacker legitime Updates verschiedener chinesischer Anwendungen, indem sie den Datenverkehr auf eigene Server umleiten. Die Folge: Nutzer, die ein Update für ihre App herunterladen wollen, erhalten stattdessen die eigens von PlushDaemon erstellten Backdoor SlowStepper. Dabei handelt es sich um eine äußerst vielseitige digitale Hintertür zu den Computern der Betroffenen. Einmal auf einem Gerät aktiv, sammelt sie eine Vielzahl von Daten. Sie kann Informationen aus Webbrowsern abgreifen, Fotos machen und nach Dokumenten suchen. Darüber hinaus sammelt er Daten aus verschiedenen Anwendungen wie Messaging-Apps und stiehlt Passwortinformationen.

"Die Vielzahl der Komponenten von PlushDaemon zeigt, wie ernst diese neue Bedrohung ist", warnt ESET-Forscher Facundo Muñoz, der hinter der Entdeckung von PlushDaemon und SlowStepper steckt. "Außerdem wird die Malware ständig aktualisiert und damit immer gefährlicher."

VPN-Nutzer in Südkorea waren betroffen und wussten nichts davon

Eine weitere Angriffsmethode betrifft Nutzer des in Südkorea beliebten VPN-Dienstes IPany: Die Hackergruppe ersetzte die reguläre Installationsdatei auf der Website des Anbieters durch ein neues Datenpaket. Dieses enthielt neben den legitimen Installationsdateien wiederum die Hintertür.

"Im Mai 2024 entdeckten wir Schadcode in einem Installationsprogramm für Windows, das Nutzer aus Südkorea von der Website der legitimen VPN-Software IPany heruntergeladen hatten. Bei einer tieferen Analyse stellten wir fest, dass der Installer sowohl die legitime Software als auch die Backdoor installierte", erklärt ESET-Forscher Facundo Muñoz, der PlushDaemon und SlowStepper aufgespürt hat. "Wir haben uns mit dem Entwickler der VPN-Software in Verbindung gesetzt, um ihn über die Kompromittierung zu informieren. Der bösartige Installer wurde sofort von der Website entfernt."

Wie es den Hackern gelang, ihr schadhaftes Installationspaket auf die Seite des Anbieters zu bringen, ist bisher nicht bekannt.

Weitere Informationen gibt es im aktuellen Blogpost ( https://www.welivesecurity.com/de/eset-research/angriff-der-pluschdamonen )"Angriff der Plüschdämonen" auf Welivesecurity.com.

(Ende)