與中國官方有關的威脅組織 PlushDaemon 自 2018 年以來一直透過劫持軟體更新對中國組織進行間諜活動。
據 ESET 研究人員稱,PlushDaemon 會用「EdgeStepper」惡意軟體感染路由器等邊緣設備,該惡意軟體用 Go 編寫,並編譯為 MIPS32 處理器的 ELF 文件,劫持網路流量。
EdgeStepper 攔截受害者的 DNS 查詢並將其重定向到 PlushDaemon 基礎架構,目標是搜狗拼音、百度網盤、騰訊 QQ 和 WPS Office 等中國軟體產品的更新請求。
受害者最終會下載名為「SlowStepper」的後門程序,該程序會竊取密碼、本機檔案、瀏覽器 cookie、微信資料和螢幕截圖。大多數受害者位於中國大陸或香港,但也包括一家台灣電子產品製造商、北京的一所大學以及位於台灣、柬埔寨、紐西蘭和美國的機構。
PlushDaemon 至少從 2018 年就開始活躍,而軟體更新方法則從 2019 年開始使用。 ESET 惡意軟體研究員 Facundo Muñoz 建議仔細檢查網路中設備的漏洞和憑證。
從: 
中國APT組織感染路由器劫持軟體更新。
【社論】
PlushDaemon攻擊標誌著網路安全領域「中間人攻擊」應用程式進入了一個新階段。 ESET的研究表明,在過去兩年中,超過10個與中國有關的APT組織採用了軟體更新劫持技術,使得這種攻擊方法在中國網路威脅行為者中日益普及。
這種攻擊的內在危險在於它利用了使用者最信任的東西:軟體更新。雖然安裝安全更新通常是建議的安全措施,但 PlushDaemon 正是利用了這種信任,在不引起任何懷疑的情況下進行滲透。
從技術角度來看,EdgeStepper 選擇 MIPS32 架構作為攻擊目標值得關注。 MIPS 處理器在 2000 年代和 2010 年代被廣泛應用於路由器和物聯網設備,至今仍為許多傳統設備提供動力。根據 Forescout 發布的 2025 年報告,路由器目前佔最易受攻擊設備總數的 50% 以上,凸顯了加強網路基礎設施防禦的緊迫性。
這次攻擊成功的根本原因在於,許多軟體仍然使用不安全的通訊協議,例如HTTP,並且沒有正確驗證數位簽章。 HTTPS結合正確的數位簽章驗證,即使更新伺服器遭到入侵,也能最大限度地減少損失,但許多中國軟體缺乏這些基本的安全措施。
目前尚不清楚 PlushDaemon 為何主要針對中國企業,但專家指出,這可能是中國政府在國內進行監控活動的一部分。受害者包括台灣的電子產品製造商和香港的企業,這表明其監控活動可能涉及政治敏感地區。
這場攻擊自 2018 年以來至少持續了七年之久,卻一直未被察覺,這足以說明其隱蔽性之強。攻擊者只需攻破邊緣設備這一初始步驟,操作極其簡單,這意味著企業可以透過採取最基本的措施來阻止整個複雜的攻擊鏈:更改預設密碼、修補漏洞以及加強憑證安全。
就其全球影響力而言,PlushDaemon 能夠從任何地方入侵目標,受害者遍布美國、紐西蘭和柬埔寨,這使得使用中國軟體的組織無論身處何地都面臨風險。
從長遠來看,此案可能促使人們重新審視軟體供應鏈中的安全標準,強制所有軟體更新使用 HTTPS、標準化數位簽章驗證以及對網路設備進行更嚴格的安全認證,這些都可能成為未來監管執法的重點。
[術語]
PlushDaemon
這是一個與中國有關的APT組織。該組織至少從2018年就開始活躍,其攻擊手段包括入侵路由器等網路設備以及劫持軟體更新。該組織的主要攻擊目標是中國企業。
APT(進階持續性威脅)
這是一個組織嚴密、資金雄厚且技術先進的網路攻擊組織。它通常由國家或其他類似組織支持,會長時間潛伏在目標網路中竊取機密資訊。與傳統攻擊不同,它針對特定組織,並經過精心策劃以繞過現有的安全措施。
EdgeStepper
這款惡意軟體由 PlushDaemon 使用,其開發者內部將其命名為 dns_cheat_v2。它使用 Go 語言編寫,基於開源的 GoFrame 框架開發,並編譯為適用於 MIPS32 處理器的 ELF 格式。該惡意軟體會感染路由器和物聯網設備,並能夠攔截受害者的 DNS 查詢,將其重定向到 PlushDaemon 的基礎設施。
慢步者
PlushDaemon 最終部署了一個客製化的後門程式。它採用模組化結構,由多個元件構成,可以竊取密碼、本機檔案、瀏覽器 cookie、微信資料、螢幕截圖等資訊。
DNS(網域名稱系統)
DNS系統將網域名稱對應到網際網路上的IP位址。它將使用者輸入的網域名稱轉換為電腦可以識別的IP位址。如果DNS伺服器遭到入侵,它會將對合法網站的存取重新導向到惡意網站,因此成為常見的攻擊目標。
DNS投毒
這種攻擊方法會將虛假資訊注入 DNS 伺服器和緩存,導致用戶存取到非預期的 IP 位址。 PlushDaemon 利用這種技術將對合法軟體更新伺服器的存取重新導向到其控制的惡意伺服器。
MIPS(無互鎖管線級的微處理器)
這種處理器架構在 2000 年代到 2010 年代被廣泛應用於路由器和物聯網設備。如今,它仍然被用於許多傳統設備中,而 EdgeStepper 的設計目標正是 MIPS32 處理器。
中間人攻擊(MITM)
這是一種攻擊方法,攻擊者介入通訊的發送方和接收方之間,攔截、修改或重定向資料。 PlushDaemon 會入侵路由器,將自身置於網路流量中間,劫持軟體更新要求。
ELF(可執行和可連結格式)
這是類別Unix作業系統中使用的標準可執行檔格式。 EdgeStepper就是以這種格式編譯的,可以在基於Linux的路由器和物聯網設備上運作。
GoFrame
這是一個用 Go 語言開發的開源 Web 應用程式框架。它被用於開發 EdgeStepper,用於解密 AES-CBC 加密的預設金鑰和初始化向量源自字串「I Love Go Frame」。
[參考連結]
ESET(外部)
一家斯洛伐克網路安全公司發現了 PlushDaemon 攻擊,並發布了一份詳細的調查報告。
搜狗拼音(外部)
中國最流行的中文輸入法。 PlushDaemon的目標軟體之一。
百度網盤(外部)
百度提供的雲端儲存服務。 PlushDaemon 攻擊的目標之一,也是中國軟體。
WPS辦公室(外部)
由中國金山軟體公司開發的免費辦公室軟體套件。 PlushDaemon 的目標軟體之一。
騰訊QQ (騰訊QQ) (外在)
由中國騰訊公司提供的多功能即時通訊軟體。 PlushDaemon 的目標軟體之一,也是中國軟體。
[參考文章]
PlushDaemon 會入侵網路設備,用於中間人攻擊(外部)
ESET官方研究報告。詳細解釋了EdgeStepper的技術細節以及PlushDaemon的攻擊方法。
「PlushDaemon」駭客利用供應鏈攻擊劫持軟體更新(外部連結)
詳細介紹 PlushDaemon 針對中國軟體更新的供應鏈攻擊方法。
EdgeStepper植入程式透過軟體更新重定向DNS查詢以部署惡意軟體(外部)
詳細介紹 EdgeStepper 的技術實現,解釋它如何攔截和重定向 DNS 查詢。
中國 PlushDaemon 駭客利用 EdgeStepper 工具劫持軟體更新(外部連結)
本文報告了使用 GoFrame 框架的 EdgeStepper 的開發細節和加密實作。
中國民族國家組織劫持軟體更新(外部)
據報道,過去兩年中,超過 10 個中國 APT 組織採用了軟體更新劫持技術。
Forescout 發布的 2025 年報告揭示了 IT、物聯網、OT 和 IoMT 領域設備漏洞激增(外部連結)
Forescout 2025 報告:路由器佔最易受攻擊設備總數的 50% 以上。
路由器植入程式「EdgeStepper」劫持軟體更新以傳播惡意軟體(外部)
報告稱,EdgeStepper 的基礎設施自 2021 年以來一直在運作。報告提出了一些防禦措施,例如強制使用 HTTPS 通訊。
[編者註]
PlushDaemon事件表明,我們日常使用的軟體的更新功能可能成為攻擊途徑。這或許是那些工作中使用國產軟體或應用程式的人重新審視公司網路環境的契機。
我們也建議您檢查路由器密碼是否仍為預設值,以及是否忘記更新韌體。您的組織如何為網路邊緣設備實施安全措施? innovaTopia 編輯團隊希望與讀者一起思考並了解這些新威脅。
