ESET deteta novo implante em Routers para sequestro de atualizações globais

João Fernandes Por
Nov. 27, 2025
ESET deteta novo implante em Routers para sequestro de atualizações globais
Segurança e Redes

Investigadores da ESET, a maior empresa europeia de cibersegurança, divulgaram a descoberta de um novo e sofisticado implante utilizado pelo grupo de ameaças PlushDaemon, alegadamente alinhado com a China. Este implante, denominado EdgeStepper, permite a realização de ataques do tipo 'man-in-the-middle' (MiTM) diretamente em dispositivos de rede, como routers.

A funcionalidade principal do EdgeStepper é redirecionar todas as consultas DNS para um servidor externo malicioso. Este servidor, controlado pelos invasores, tem a capacidade de sequestrar atualizações de software. Ao fazer o hijacking do tráfego de atualizações, o EdgeStepper consegue encaminhar o utilizador para uma infraestrutura controlada pelo atacante.

Este redirecionamento tem um objetivo final claro: instalar downloaders como o LittleDaemon e o DaemonicLogistics em máquinas específicas, culminando na distribuição do SlowStepper. O SlowStepper é um backdoor altamente personalizado, composto por dezenas de componentes utilizados em operações de ciberespionagem e que confere ao PlushDaemon a capacidade de comprometer alvos em qualquer lugar do mundo.

O cenário de ataque típico começa com o compromisso de um dispositivo de rede ao qual o alvo se liga. A ESET sugere que este acesso é conseguido, provavelmente, através da exploração de vulnerabilidades no software do dispositivo ou pelo uso de credenciais administrativas padrão, fracas ou bem conhecidas. Uma vez instalado, o EdgeStepper redireciona as consultas DNS para um nó malicioso que verifica se o domínio da consulta está relacionado com atualizações de software de produtos populares chineses, e se estiver, responde com o endereço de sequestro.

O grupo PlushDaemon está ativo desde pelo menos 2018 e dedica-se a operações de ciberespionagem contra entidades na Ásia Oriental-Pacífico e nos Estados Unidos. Desde 2019, as suas vítimas incluíram alvos tão diversos como uma universidade em Pequim, uma empresa taiwanesa de eletrónica, uma empresa automóvel e uma filial de uma empresa industrial japonesa.

A descoberta da ESET sublinha que o verdadeiro perigo reside na capacidade de os atacantes utilizarem dispositivos de rede, frequentemente negligenciados na estratégia de segurança, como um ponto de acesso invisível. Ao transformar routers em pontos de MiTM, o PlushDaemon consegue realizar ciberespionagem de forma furtiva e altamente eficaz, contornando a segurança tradicional de endpoints.

A análise demonstra que a segurança do perímetro da rede continua a ser vital, com os atacantes a procurar vulnerabilidades em firmware e credenciais fracas. A proteção contra ameaças como o PlushDaemon exige a monitorização contínua de dispositivos de rede e a aplicação de políticas de segurança mais robustas que impeçam o sequestro de software através de man-in-the-middle.

Classifique este item
(0 votos)
Ler 449 vezes
Tagged em
Mais nesta categoria: « Kaspersky alerta para mais de 6 milhões de ataques de Phishing em Portugal Kaspersky alerta para mudanças críticas com o fim do suporte ao Windows 10 »

Itens relacionados

Top