Een groep aanvallers verspreidt besmette software-updates via gehackte routers. Dat meldt antivirusbedrijf ESET in een analyse. Het gaat om een advanced persistent threat (APT) genaamd PlushDaemon. Zowel organisaties als individuen zijn door de groep aangevallen, zo laten de onderzoekers weten. Die zagen slachtoffers in de Verenigde Staten, Taiwan, China, Hong Kong, Nieuw-Zeeland en Cambodja.

De eerste stap in de aanval betreft het compromitteren van een netwerkapparaat dat het doelwit gebruikt, zoals een router. Hoe de aanvallers dit precies doen is onbekend, maar ESET vermoedt het gebruik van kwetsbaarheden of zwakke of bekende wachtwoorden. Zodra het netwerkapparaat is gecompromitteerd installeren de aanvallers hierop malware, die alle dns requests van het doelwit doorstuurt naar een dns-server van de aanvallers.

De dns-server controleert of de dns-requests te maken hebben met software-updates. Veel applicaties controleren geregeld of er nieuwe updates beschikbaar zijn. In het geval de software updates via http binnenhaalt kunnen de aanvallers dit onderscheppen en een malafide update aanbieden, die vervolgens op het systeem van het doelwit wordt uitgevoerd. In de analyse stelt ESET dat onder andere gebruikers van de Chinese keyboard-app Sogou op deze manier zijn aangevallen. De groep aanvallers houdt zich volgens het antivirusbedrijf bezig met spionage.