Onderzoekers van antivirusbedrijf ESET hebben in de installatiesoftware die via de officiële website van de Zuid-Koreaanse vpn-provider IPany werd aangeboden een backdoor aangetroffen. Gebruikers van IPany die de Windows-installer via de officiële website downloadden kregen zowel de legitieme vpn-software als een backdoor. Het was aanvallers gelukt om de legitieme installer door een besmette versie te vervangen, aldus de onderzoekers.

De backdoor, die SlowStepper wordt genoemd, beschikt over tientallen modules waarmee aanvallers allerlei acties op het besmette systeem kunnen uitvoeren. Het gaat dan om het verzamelen van .txt, .doc, .docx, .xls, .xlsx, .ppt en .pptx bestanden, het verzamelen van informatie over geïnstalleerde apps waaronder LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin en ToDesk, het maken van foto's via de webcam, het verzamelen van allerlei gegevens uit geïnstalleerde browsers, waaronder opgeslagen wachtwoorden, het maken van schermopnames, het verzamelen van allerlei gegevens uit specifiek de chatapps WeChat en Telegram en het stelen van wifi-gegevens, waaronder het wifi-wachtwoord.

De besmette installer op de website van IPany werd vorig jaar mei door ESET ontdekt, maar de bevindingen zij nu pas bekendgemaakt. De eerste infecties die het antivirusbedrijf via de besmette vpn-installer kon vinden dateren van november en december 2023. Hoe de aanvallers toegang tot de server van IPany konden krijgen om daar de legitieme installer te vervangen door een malafide laat ESET niet weten. Wel zou de verantwoordelijke groep, die PlushDaemon wordt genoemd, kwetsbaarheden in webservers gebruiken om toegang te krijgen. Na te zijn ingelicht heeft IPany de malafide installer van de eigen website verwijderd.