Os investigadores da ESET descobriram que o grupo de ameaças PlushDaemon, alinhado com a China, realiza ataques do tipo ‘man-in-the-middle’ utilizando um implante anteriormente não documentado para dispositivos de rede (ex: router) que a ESET denominou EdgeStepper.

Redirecionamento de consultas DNS para um servidor DNS externo "malicioso"
Este implante redireciona todas as consultas DNS para um servidor DNS externo malicioso que responde com o endereço de outro nó que realiza o sequestro de atualizações.
O EdgeStepper redireciona efetivamente o tráfego de atualizações de software para uma infraestrutura controlada pelo invasor com o objetivo de implantar os downloaders LittleDaemon e DaemonicLogistics em máquinas específicas e, por fim, distribuir o implante SlowStepper.
O SlowStepper é um kit de ferramentas backdoor com dezenas de componentes usados para ciberespionagem. Estes implantes dão ao PlushDaemon a capacidade de comprometer alvos em qualquer lugar do mundo.

O PlushDaemon é um grupo cibercriminoso alinhado com a China, ativo desde pelo menos 2018, que se dedica a operações de ciberespionagem contra indivíduos e entidades na Ásia Oriental-Pacífico e nos Estados Unidos.
Utiliza uma backdoor personalizado que a ESET rastreia como SlowStepper. No passado, a ESET observou o grupo a obter acesso através de vulnerabilidades em servidores web e, em 2023, realizou um ataque a uma cadeia de abastecimento.