Hack Alerta

EdgeStepper: backdoor intercepta DNS e redireciona atualizações de software

Por Redação Hack Alerta Publicado em 19/11/2025 08:02 Riscos e Ameaças Tempo de leitura: 3 min

O backdoor EdgeStepper, atribuído ao grupo PlushDaemon, reroteia todas as consultas DNS para nós controlados por atacantes, criando um vetor AitM que pode substituir atualizações legítimas por código malicioso. As fontes descrevem o mecanismo, mas não publicam IOCs ou listagem de vítimas.

Pesquisadores documentaram um backdoor de rede codificado em Go, denominado EdgeStepper, usado pelo ator PlushDaemon para viabilizar ataques adversary‑in‑the‑middle (AitM) que reroteiam consultas DNS para infraestrutura controlada pelos atacantes.

Descoberta e escopo

Segundo o relatório disponível, o implant EdgeStepper “redirects all DNS queries to an external, malicious hijacking node, effectively rerouting the traffic from legitimate infrastructure used for software updates to attacker-controlled infrastructure”. Em outras palavras, o backdoor modifica a resolução de nomes local para forçar clientes a consultar servidores controlados pelos atacantes, possibilitando a substituição de recursos como updates e binários distribuídos por canais legítimos.

Vetor e abordagem técnica

As fontes descrevem o componente como um backdoor de rede escrito em Go. Sua funcionalidade-chave é a interceptação/alteração de consultas DNS — um vetor clássico para ataques AitM centrados em supply chain ou em redes onde clientes ainda confiam em infraestruturas de atualização remota.

  • Redirecionamento de DNS: todas as consultas são encaminhadas para um nó de hijacking externo;
  • Objetivo operacional: rerotar tráfego originalmente destinado à infraestrutura de atualização para endpoints controlados por atacante;
  • Possível impacto: entrega de atualizações maliciosas, distribuição de malware via canais legítimos e persistência via mecanismo de atualização.

Impacto e alcance

Embora a publicação descreva o método e o agente PlushDaemon, as fontes não incluem contagens precisas de vítimas, listas de fornecedores impactados ou evidências de ataques em larga escala. A técnica, porém, tem alto potencial de impacto quando aplicada a ambientes que não validam assinaturas de atualizações ou que confiam apenas em confiança de rede/endpoint.

Mitigações e recomendações

Com base no vetor descrito, medidas práticas incluem:

  • Validação de assinaturas de atualizações e artefatos antes da instalação (verificação criptográfica do pacote);
  • bloqueio/monitoramento de consultas DNS a servidores não autorizados e uso de DNSSEC quando aplicável;
  • segmentação de rede e controles de saída que restrinjam resolvers DNS a servidores gerenciados pela organização;
  • telemetria de integridade de atualizações e comparação de checksums com repositórios oficiais.

Limites das informações

As fontes detalham o comportamento do EdgeStepper, mas não identificam fabricantes, produtos atualizados nem mostram evidência pública de exploração via cadeia de atualização em setores específicos. Também não há CVEs ou indicadores de comprometimento (IOCs) completos divulgados nas matérias citadas.

O que observar

Equipes de segurança devem priorizar controles que quebrem a cadeia de confiança manipulável por DNS: assinatura e verificação de artefatos, restrição de resolvers, monitoramento de anomalias DNS e inspeção de tráfego de atualização de software. Quando fontes oficiais liberarem IOCs ou relatórios técnicos mais profundos, integrar esses artefatos às feeds de detecção e regras de IDPS é essencial.

Baseado em publicação original de The Hacker News
Tags: #dns #backdoor #aitm #supply-chain #plushdaemon #updates #go #detecção #idps
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar