中國駭客組織「PlushDaemon」潛伏逾五年,鎖定路由器劫持軟體更新
回到上一頁

中國駭客組織「PlushDaemon」潛伏逾五年,鎖定路由器劫持軟體更新

2025-11-24
 
一起手法獨特且隱匿多年的網路攻擊事件曝光。一個與中國官方有關聯的「進階持續性威脅」(APT)組織「PlushDaemon」,被資安研究人員發現,在過去至少五年中,一直利用一種創新的軟體更新劫持手法,默默監視中國境內的組織機構,主要目標包括大陸和香港地區的企業及大學,甚至擴及設在大陸的台資電子製造商。
 
有別於一般的網路攻擊,PlushDaemon 利用受感染的**路由器等邊緣設備(Edge Devices)作為跳板,將合法的軟體更新請求重新導向到其惡意基礎設施,進而植入惡意軟體,達到持久監控的目的。
 
 

 

邊緣設備成溫床:專門針對老舊硬體的「EdgeStepper」

 
自 2020 年 SolarWinds 大規模供應鏈攻擊事件爆發後,資安界對「軟體更新中毒」的擔憂持續升溫。PlushDaemon 正是採取此類攻擊手法,但其獨特性在於如何利用網路設備來實現。
 
根據 ESET 研究人員的報告,PlushDaemon 的攻擊始於入侵組織的路由器或其他邊緣設備。這通常是透過利用軟體漏洞,或是猜解/利用預設的管理員憑證來達成。一旦成功進入,駭客就會植入其標誌性的惡意軟體:「EdgeStepper」。
 
EdgeStepper 是使用 Go 語言編寫,並編譯成 ELF 格式檔案,專門為 MIPS32 處理器架構設計。MIPS 處理器雖然近年來使用率有所下降,但在 2000 年代至 2010 年代曾廣泛應用於路由器和物聯網(IoT)設備中,這顯示 PlushDaemon 專門針對這些作為網路進出路徑的舊型設備進行武器化。
 
 

 

劫持更新流量:目標瞄準中國主流軟體

 
EdgeStepper 運作的巧妙之處在於其流量劫持能力。它會潛伏在受害者與外部網站之間,當受害者發出域名系統(DNS)查詢時,該惡意軟體會進行攔截。
PlushDaemon 並非對所有網站都感興趣,它有一份明確的目標清單,專門鎖定由中國流行的軟體產品所發出的更新請求:
  • 搜狗拼音輸入法(Sogou Pinyin Method)
  • 百度網盤雲服務(Baidu Netdisk)
  • 騰訊 QQ 即時通訊軟體
  • WPS Office 免費辦公軟體套件
     
 
當 EdgeStepper 偵測到這些應用程式向其官方更新伺服器發出請求時,它會將合法的網站 IP 地址替換為 PlushDaemon 的惡意伺服器 IP。受害者接下來下載的「更新檔案」便會是駭客準備好的惡意替換品。
 
在經歷了幾個中介下載程序後,受害者最終會被植入 PlushDaemon 的客製化後門:「SlowStepper」。SlowStepper 是一個模組化後門,具有多種強大功能,包括竊取密碼、本地文件、瀏覽器 Cookie、與微信(WeChat)相關的各種數據,甚至進行螢幕截圖。
 
 
 

目標之謎:為何中國官方駭客專盯中國組織?

 
儘管 PlushDaemon 的攻擊手法已浮出水面,但該組織仍圍繞著一些令人費解的謎團。其中最大的疑問是:為什麼一個被視為與中國官方結盟的 APT 組織,其主要的監控目標卻是中國境內組織?
 
ESET 的報告指出,PlushDaemon 的大部分受害者位於中國大陸或香港,例如一所北京的大學,以及一家設在中國大陸的台灣電子製造商
 
雖然該組織的攻擊範圍也擴展到台灣、柬埔寨、紐西蘭和美國,但即使在這些海外案例中,駭客仍鎖定使用上述具鮮明中國特色的軟體產品,這強烈暗示其目標仍與中國相關聯。
 
另一個謎團是 PlushDaemon 難以置信的低調程度。儘管該組織自至少 2018 年就已開始活躍,並從 2019 年開始採用軟體更新劫持策略,但多年來一直鮮為人知,幾乎沒有引起資安界像對待其他同級別中國 APT 那樣的關注。除了 ESET 去年發布的報告之外,PlushDaemon 幾乎銷聲匿跡。
 
 

專家建議:專注於最薄弱的第一環

 
對於企業組織而言,阻止 PlushDaemon 的方法相對直接。ESET 惡意軟體研究員 Facundo Muñoz 建議防禦者應將重點放在攻擊鏈的最前端——最簡單但也最關鍵的第一階段,也就是駭客入侵邊緣設備的環節。
 
Muñoz 強調:「我們建議防禦者,要警惕自己網路中的設備漏洞,並盡力審查並修補憑證漏洞。就是這麼簡單。」
 
這意味著,企業必須拋棄對路由器、防火牆等網路邊緣設備的長期忽視,確保這些設備的韌體(firmware)保持更新,並禁用或更改所有預設(Default)管理員帳號密碼,避免讓駭客有機可乘。
 
隨著 PlushDaemon 浮出水面,這也提醒了全球企業,APT 組織的手法正在不斷演進,並非只有大型供應鏈攻擊值得警惕;基礎網路設備的資安衛生,才是防止高階威脅入侵的第一道防線。
出處: 本文根據《Dark Reading》特約撰稿人 Nate Nelson 於 2025 年 11 月 21 日發布的文章〈China's 'PlushDaemon' Hackers Infect Routers to Hijack Software Updates〉整理撰寫。