Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós UNC3886 Grup d'Espionatge Cibernètic

UNC3886 Grup d'Espionatge Cibernètic

El Mezo el Programari maliciós, Portes del darrere
Traduir a:
Català

L'entitat de ciberespionatge vinculada a la Xina UNC3886 s'ha orientat activament als encaminadors MX al final de la vida útil per desplegar portes posteriors personalitzades. Aquesta campanya subratlla la seva capacitat d'infiltrar-se en la infraestructura de xarxa interna, utilitzant portes posteriors amb capacitats actives i passives. Algunes variants fins i tot contenen scripts incrustats dissenyats per desactivar els mecanismes de registre, permetent als atacants operar sense ser detectats.

Un grup d’amenaça en evolució

UNC3886 té un historial d'aprofitament de vulnerabilitats de dia zero en dispositius Fortinet, Ivanti i VMware per trencar xarxes i establir una persistència a llarg termini. Aquesta darrera operació representa una evolució de les seves tècniques, centrada en el maquinari de xarxa que sovint no té control de seguretat.

Des de la seva primera activitat documentada el setembre de 2022, UNC3886 ha demostrat una gran competència a l'hora d'orientar dispositius de punta i tecnologies de virtualització, dirigides als sectors de defensa, tecnologia i telecomunicacions als EUA i Àsia.

Per què dispositius d’encaminament?

Els adversaris impulsats per l'espionatge han canviat recentment cap a dispositius d'encaminament compromesos. En aconseguir el control de la infraestructura crucial, els atacants poden mantenir un accés prolongat alhora que tenen el potencial de dur a terme activitats disruptives en el futur.

La connexió TinyShell: una arma d’elecció

L'última activitat, detectada a mitjans del 2024, consisteix en implants basats en TinyShell, una porta posterior lleugera basada en C afavorida per grups de pirateria xinesa com Liminal Panda i Velvet Ant. La naturalesa de codi obert de TinyShell fa que sigui una opció pràctica, que ofereix facilitat de personalització alhora que complica l'atribució.

Els investigadors de seguretat han identificat sis portes posteriors diferents basades en TinyShell, cadascuna amb la seva pròpia funcionalitat:

  • appid (un dimoni d'implants poc plagiat) : proporciona transferència de fitxers, shell interactiu, proxy SOCKS i canvis de configuració C2.
  • to (Too Obvious) : semblant a appid però amb diferents servidors C2 codificats.
  • irad (Dimoni d'accés remot a Internet) : actua com a porta posterior passiva mitjançant l'olor de paquets mitjançant paquets ICMP.
  • lmpad (Dimoni d'atac de pegats a la memòria local) - Utilitza la injecció de processos per evadir el registre.
  • jdosd (Junos Denial of Service Daemon) : una porta posterior UDP amb capacitats de shell remotes.
  • oemd (Obscure Enigmatic Malware Daemon) : una porta posterior passiva que utilitza TCP per comunicar-se amb servidors C2.

Evitant les proteccions de seguretat del sistema operatiu Junos

Els atacants han desenvolupat mètodes per executar programari maliciós malgrat les proteccions Verified Exec (veriexec) de Junos OS, que estan dissenyades per evitar l'execució de codi no autoritzada. En obtenir accés privilegiat a través d'un servidor de terminals, injecten càrregues útils malicioses en processos legítims, assegurant la persistència mentre evaden la detecció.

Més eines a l’Arsenal d’atac

A més de les portes posteriors de TinyShell, UNC3886 desplega eines addicionals:

  • Rèptil i Medusa - Rootkits per a una persistència furtiva.
  • PITHOOK: s'utilitza per segrestar l'autenticació SSH i capturar credencials.
  • GHOSTTOWN: dissenyat per a finalitats antiforenses.

Es recomana a les organitzacions que utilitzen dispositius Juniper que els actualitzin a les últimes versions de microprogramari per mitigar aquestes amenaces.

Un altre atac, un altre actor d’amenaça?

Curiosament, una campanya separada, anomenada J-Magic, s'ha orientat als encaminadors Juniper de grau empresarial mitjançant una variant de porta posterior coneguda com a cd00r. Tanmateix, aquesta activitat s'atribueix a un grup diferent vinculat a la Xina, UNC4841, sense cap vincle conegut amb l'orientació d'UNC3886 als encaminadors Juniper al final de la seva vida útil.

S’està explotant CVE-2025-21590 per a la persistència

Juniper Networks ha confirmat que les infeccions recents van explotar almenys una vulnerabilitat: CVE-2025-21590 (puntuació CVSS v4: 6,7). Aquest defecte, que es troba al nucli del sistema operatiu Junos, permet als atacants amb alts privilegis injectar codi arbitrari, comprometent en última instància la integritat del dispositiu.

S'han publicat pedaços a les versions del sistema operatiu Junos 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R1-S2 i 24.2R2. Les organitzacions han d'assegurar-se que estan executant aquestes versions actualitzades.

UNC3886: Mestres del sigil i la persistència

L'experiència d'UNC3886 en sistemes interns avançats és evident en el seu ús estratègic de portes posteriors passives, manipulació de registres i evasió forense. El seu objectiu principal segueix sent la persistència a llarg termini alhora que minimitza els riscos de detecció, la qual cosa suposa un repte de ciberseguretat important i constant.

 

Tendència

Més vist

Carregant...