Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Grupo de Ciberespionaje UNC3886

Grupo de Ciberespionaje UNC3886

Por Mezo en Software malicioso, Puertas traseras
Traducir a:
Español

La entidad de ciberespionaje UNC3886, vinculada a China, ha estado atacando activamente enrutadores MX obsoletos para implementar puertas traseras personalizadas. Esta campaña pone de manifiesto su capacidad para infiltrarse en la infraestructura de red interna, utilizando puertas traseras con capacidades tanto activas como pasivas. Algunas variantes incluso contienen scripts integrados diseñados para desactivar los mecanismos de registro, lo que permite a los atacantes operar sin ser detectados.

Un grupo de amenazas en evolución

UNC3886 tiene un historial de aprovechar vulnerabilidades de día cero en dispositivos Fortinet, Ivanti y VMware para vulnerar redes y establecer persistencia a largo plazo. Esta última operación representa una evolución de sus técnicas, centrándose en hardware de red que a menudo carece de monitoreo de seguridad.

Desde su primera actividad documentada en septiembre de 2022, UNC3886 ha demostrado una gran competencia en la orientación hacia dispositivos de borde y tecnologías de virtualización, apuntando a los sectores de defensa, tecnología y telecomunicaciones en los EE. UU. y Asia.

¿Por qué enrutar dispositivos?

Los adversarios que buscan espionaje han optado recientemente por comprometer dispositivos de enrutamiento. Al obtener el control de infraestructura crucial, los atacantes pueden mantener un acceso prolongado y, al mismo tiempo, tener el potencial de realizar actividades disruptivas en el futuro.

La conexión TinyShell: un arma de elección

La última actividad, detectada a mediados de 2024, involucra implantes basados en TinyShell, una puerta trasera ligera basada en C, preferida por grupos de hackers chinos como Liminal Panda y Velvet Ant. La naturaleza de código abierto de TinyShell la convierte en una opción práctica, ya que ofrece facilidad de personalización y complica la atribución.

Los investigadores de seguridad han identificado seis puertas traseras distintas basadas en TinyShell, cada una con su propia funcionalidad:

  • appid (un demonio de implante mal plagiado) : proporciona transferencia de archivos, shell interactivo, proxy SOCKS y cambios de configuración C2.
  • to (TooObvious) : similar a appid pero con diferentes servidores C2 codificados.
  • irad (Internet Remote Access Daemon) : actúa como una puerta trasera pasiva mediante el rastreo de paquetes a través de paquetes ICMP.
  • lmpad (demonio de ataque de parcheo de memoria local) : utiliza la inyección de procesos para evadir el registro.
  • jdosd (Junos Denial of Service Daemon) : una puerta trasera UDP con capacidades de shell remoto.
  • oemd (Obscure Enigmatic Malware Daemon) : una puerta trasera pasiva que utiliza TCP para comunicarse con servidores C2.

Cómo eludir las protecciones de seguridad del sistema operativo Junos

Los atacantes han desarrollado métodos para ejecutar malware a pesar de las protecciones Verified Exec (veriexec) de Junos OS, diseñadas para evitar la ejecución de código no autorizado. Al obtener acceso privilegiado a través de un servidor de terminales, inyectan cargas maliciosas en procesos legítimos, garantizando la persistencia y evitando la detección.

Más herramientas en el arsenal de ataque

Además de las puertas traseras de TinyShell, UNC3886 implementa herramientas adicionales:

  • Reptile y Medusa : Rootkits para una persistencia sigilosa.
  • PITHOOK – Se utiliza para secuestrar la autenticación SSH y capturar credenciales.
  • GHOSTTOWN – Diseñado para fines antiforenses.

Se recomienda encarecidamente a las organizaciones que utilizan dispositivos Juniper que los actualicen a las últimas versiones de firmware para mitigar estas amenazas.

¿Otro ataque, otro actor amenazante?

Curiosamente, una campaña independiente, denominada J-Magic, ha atacado enrutadores Juniper de nivel empresarial mediante una variante de puerta trasera conocida como cd00r. Sin embargo, esta actividad se atribuye a un grupo diferente, vinculado con China, UNC4841, sin vínculos conocidos con el ataque de UNC3886 a enrutadores Juniper al final de su vida útil.

Explotación de CVE-2025-21590 para persistencia

Juniper Networks ha confirmado que las infecciones recientes explotaron al menos una vulnerabilidad: CVE-2025-21590 (puntuación CVSS v4: 6,7). Esta falla, presente en el kernel del sistema operativo Junos, permite a atacantes con privilegios elevados inyectar código arbitrario, lo que en última instancia compromete la integridad del dispositivo.

Se han publicado parches para las versiones 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 y 24.4R1 de Junos OS. Las organizaciones deben asegurarse de utilizar estas versiones actualizadas.

UNC3886: Maestros del sigilo y la persistencia

La experiencia de UNC3886 en sistemas internos avanzados se evidencia en su uso estratégico de puertas traseras pasivas, manipulación de registros y evasión forense. Su objetivo principal es la persistencia a largo plazo, minimizando al mismo tiempo los riesgos de detección, lo que representa un desafío continuo e importante para la ciberseguridad.

 

Tendencias

Mas Visto

Cargando...