MONTREAL, BRATISLAVA — Le 19 novembre 2025 — Les chercheurs d'ESET ont découvert que le groupe de cybercriminels PlushDaemon, lié à la Chine, mène des « attaques d’interception » grâce à un implant réseau encore inconnu destiné aux routeurs, nommé EdgeStepper par ESET. Il redirige toutes les requêtes DNS vers un serveur DNS externe malveillant qui répond avec l'adresse d'un autre nœud. Celui-ci détourne les mises à jour de logiciels vers une infrastructure contrôlée par l'attaquant permettant de déployer les programmes de téléchargement LittleDaemon et DaemonicLogistics sur les machines ciblées et de distribuer finalement l'implant SlowStepper. Cet implant est une boîte à outils, type porte dérobée, composée de dizaines d’éléments pour le cyberespionnage. Ainsi PlushDaemon peut compromettre des cibles dans le monde entier.

Depuis 2019, ce groupe lié à la Chine a mené des attaques aux États-Unis, en Nouvelle-Zélande, au Cambodge, à Hong Kong, à Taïwan et en Chine continentale. Parmi les victimes, il y a une université à Pékin, une entreprise taïwanaise de fabrication de produits électroniques, une entreprise du secteur automobile et une filiale d'une entreprise japonaise du secteur manufacturier.

Dans le scénario d'attaque découvert, PlushDaemon compromet un périphérique réseau auquel sa cible pourrait se connecter. La compromission est probablement réalisée grâce à une vulnérabilité dans le logiciel exécuté sur le périphérique ou à des identifiants d'administrateur par défaut faibles et/ou connus, ce qui permet aux attaquants de déployer EdgeStepper (et même d'autres outils).

« EdgeStepper redirige alors les requêtes DNS vers un nœud DNS malveillant qui vérifie si le domaine de la requête est lié à des mises à jour logicielles. Il répond ensuite avec l'adresse IP du nœud pirate. Nous avons aussi constaté que certains serveurs sont à la fois nœud DNS et nœud pirate. Le nœud DNS répond alors aux requêtes DNS avec sa propre adresse IP », explique Facundo Muñoz, le chercheur d’ESET qui a découvert et analysé l'attaque. Et il ajoute : « Plusieurs logiciels chinois populaires ont vu leurs mises à jour détournées par PlushDaemon via EdgeStepper ».

PlushDaemon est un groupe de cybercriminels lié à la Chine, actif depuis au moins 2018, qui mène des opérations d'espionnage contre des individus et des entités en Asie-Pacifique et aux États-Unis. Il utilise SlowStepper, une porte dérobée personnalisée, identifiée par ESET. Précédemment, ESET a observé que ce groupe accédait à des systèmes via des vulnérabilités de serveurs web et, en 2023, il a attaqué une chaîne d'approvisionnement.

Pour une analyse plus détaillée des dernières activités de PlushDaemon, consultez le dernier blog d'ESET Research “PlushDaemon compromises network devices for adversary-in-the-middle attacks” sur www.WeLiveSecurity.com. Suivez ESET Research sur Twitter (désormais connu sous le nom de X), BlueSky et Mastodon pour les dernières nouvelles.

A propos d’ESET
ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com/ ou suivez nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/