UNC3886 Gruppo di spionaggio informatico

Entro Mezo nel Malware, Porte sul retro

Traduci in:

L'entità di cyber spionaggio legata alla Cina UNC3886 ha preso di mira attivamente i router MX fuori uso per distribuire backdoor personalizzate. Questa campagna sottolinea la loro capacità di infiltrarsi nell'infrastruttura di rete interna, utilizzando backdoor con capacità sia attive che passive. Alcune varianti contengono persino script incorporati progettati per disattivare i meccanismi di registrazione, consentendo agli aggressori di operare senza essere rilevati.

Sommario

Un gruppo di minaccia in evoluzione

UNC3886 ha una storia di sfruttamento delle vulnerabilità zero-day nei dispositivi Fortinet, Ivanti e VMware per violare le reti e stabilire una persistenza a lungo termine. Questa ultima operazione rappresenta un'evoluzione delle loro tecniche, concentrandosi sull'hardware di rete che spesso non dispone di monitoraggio della sicurezza.

Sin dalla sua prima attività documentata nel settembre 2022, UNC3886 ha dimostrato un'elevata competenza nel puntare a dispositivi edge e tecnologie di virtualizzazione, puntando ai settori della difesa, della tecnologia e delle telecomunicazioni negli Stati Uniti e in Asia.

Perché i dispositivi di routing?

Gli avversari guidati dallo spionaggio hanno recentemente spostato la loro attenzione verso la compromissione dei dispositivi di routing. Ottenendo il controllo su infrastrutture cruciali, gli aggressori possono mantenere un accesso prolungato, avendo anche il potenziale per condurre attività dirompenti in futuro.

La connessione TinyShell: un’arma di scelta

L'ultima attività, rilevata a metà del 2024, riguarda impianti basati su TinyShell, una backdoor leggera basata su C preferita da gruppi di hacker cinesi come Liminal Panda e Velvet Ant. La natura open source di TinyShell la rende una scelta pratica, offrendo facilità di personalizzazione e complicando al contempo l'attribuzione.

I ricercatori di sicurezza hanno identificato sei backdoor distinte basate su TinyShell, ciascuna con le proprie funzionalità:

appid (un demone di impianto malamente plagiato) – Fornisce trasferimento file, shell interattiva, proxy SOCKS e modifiche alla configurazione C2.
a (TooObvious) – Simile ad appid ma con diversi server C2 hardcoded.
irad (Internet Remote Access Daemon) – Agisce come backdoor passiva utilizzando lo sniffing dei pacchetti tramite pacchetti ICMP.
lmpad (Local Memory Patching Attack Daemon) : utilizza l'iniezione di processi per eludere la registrazione.
jdosd (Junos Denial of Service Daemon) : una backdoor UDP con funzionalità di shell remota.
oemd (Obscure Enigmatic Malware Daemon) – Una backdoor passiva che utilizza TCP per comunicare con i server C2.

Bypassare le protezioni di sicurezza del sistema operativo Junos

Gli aggressori hanno sviluppato metodi per eseguire malware nonostante le protezioni Verified Exec (veriexec) di Junos OS, progettate per impedire l'esecuzione di codice non autorizzato. Ottenendo l'accesso privilegiato tramite un server terminale, iniettano payload dannosi in processi legittimi, assicurando la persistenza eludendo il rilevamento.

Altri strumenti nell’arsenale d’attacco

Oltre alle backdoor di TinyShell, UNC3886 implementa strumenti aggiuntivi:

Reptile & Medusa – Rootkit per la persistenza furtiva.
PITHOOK – Utilizzato per dirottare l'autenticazione SSH e catturare le credenziali.
GHOSTTOWN – Progettato per scopi anti-forensi.

Si consiglia vivamente alle organizzazioni che utilizzano dispositivi Juniper di aggiornarli alle versioni più recenti del firmware per mitigare queste minacce.

Un altro attacco, un altro agente della minaccia?

È interessante notare che una campagna separata, denominata J-Magic, ha preso di mira i router Juniper di livello enterprise utilizzando una variante backdoor nota come cd00r. Tuttavia, questa attività è attribuita a un diverso gruppo legato alla Cina, UNC4841, senza legami noti con l'attacco di UNC3886 ai router Juniper a fine vita.

Sfruttamento di CVE-2025-21590 per la persistenza

Juniper Networks ha confermato che le recenti infezioni hanno sfruttato almeno una vulnerabilità: CVE-2025-21590 (punteggio CVSS v4: 6,7). Questa falla, trovata nel kernel del sistema operativo Junos, consente ad aggressori con privilegi elevati di iniettare codice arbitrario, compromettendo in ultima analisi l'integrità del dispositivo.

Sono state rilasciate patch per le versioni 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 e 24.4R1 di Junos OS. Le organizzazioni devono assicurarsi di utilizzare queste versioni aggiornate.

UNC3886: Maestri di furtività e persistenza

L'esperienza di UNC3886 in sistemi interni avanzati è evidente nel suo uso strategico di backdoor passive, manomissione dei log ed evasione forense. Il suo obiettivo primario rimane la persistenza a lungo termine riducendo al minimo i rischi di rilevamento, il che rappresenta una sfida continua e significativa per la sicurezza informatica.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione

UNC3886 Gruppo di spionaggio informatico

Un gruppo di minaccia in evoluzione

Perché i dispositivi di routing?

La connessione TinyShell: un’arma di scelta

Bypassare le protezioni di sicurezza del sistema operativo Junos

Altri strumenti nell’arsenale d’attacco

Un altro attacco, un altro agente della minaccia?

Sfruttamento di CVE-2025-21590 per la persistenza

UNC3886: Maestri di furtività e persistenza

Invia commento

Tendenza

Blocco degli annunci Omega

App Almoristica

Applicazione Koaiw

I più visti

Discord è bloccato sullo schermo grigio

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...