În mai 2024, firma de securitate cibernetică ESET a identificat un atac complex cu malware provenit de pe site-ul furnizorului sud-coreean de VPN IPany. Atacul, atribuit grupului de hackeri chinezi PlushDemon, reprezintă un exemplu important de compromis al lanțului de aprovizionare, vizând utilizatori din întreaga Asie.
Descoperirea malware-ului SlowStepper
Software-ul antivirus al ESET a detectat infecții neobișnuite pe computerele cu Windows, care au fost ulterior urmărite până la un installer malițios disponibil pe site-ul IPany. Acest installer instala atât software-ul VPN legitim, cât și un malware tip backdoor denumit SlowStepper.
„În urma unei analize suplimentare, am descoperit că installerul livra atât software-ul legitim, cât și backdoor-ul pe care l-am numit SlowStepper”, a declarat ESET într-un articol recent pe blog. Compania a contactat IPany, iar installerul compromis a fost eliminat de pe site. Totuși, detaliile despre modul în care hackerii au reușit să compromită site-ul rămân necunoscute, deoarece IPany nu a oferit încă un răspuns.
Ținte diverse și nediscriminatorii
ESET a remarcat că installerul malițios nu conținea cod pentru a selecta utilizatorii pe baza locației geografice sau a adresei IP, ceea ce înseamnă că toți utilizatorii VPN-ului IPany ar fi putut fi ținte valide. Acest lucru ridică semne serioase de întrebare cu privire la amploarea și natura nediscriminatorie a atacului.
