Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware UNC3886 Grupo de Espionagem Cibernética

UNC3886 Grupo de Espionagem Cibernética

Por Mezo em Malware, Backdoors
Traduzir Para:
Português

A entidade de espionagem cibernética ligada à China, UNC3886, tem visado ativamente roteadores MX em fim de vida para implantar backdoors personalizados. Esta campanha ressalta sua capacidade de infiltrar infraestrutura de rede interna, utilizando backdoors com capacidades ativas e passivas. Algumas variantes até contêm scripts incorporados projetados para desativar mecanismos de registro, permitindo que invasores operem sem serem detectados.

Um Grupo de Ameaças em Evolução

A UNC3886 tem um histórico de alavancar vulnerabilidades de dia zero em dispositivos Fortinet, Ivanti e VMware para violar redes e estabelecer persistência de longo prazo. Esta última operação representa uma evolução de suas técnicas, com foco em hardware de rede que frequentemente carece de monitoramento de segurança.

Desde sua primeira atividade documentada em setembro de 2022, o UNC3886 demonstrou alta proficiência em direcionar dispositivos de ponta e tecnologias de virtualização, visando os setores de defesa, tecnologia e telecomunicações nos EUA e na Ásia.

Por Que os Dispositivos de Roteamento?

Adversários movidos por espionagem recentemente mudaram para comprometer dispositivos de roteamento. Ao ganhar controle sobre infraestrutura crucial, os invasores podem manter acesso prolongado, ao mesmo tempo em que têm o potencial de conduzir atividades disruptivas no futuro.

A Conexão TinyShell: Uma Arma de Escolha

A atividade mais recente, detectada em meados de 2024, envolve implantes baseados no TinyShell, um backdoor leve baseado em C favorecido por grupos de hackers chineses como Liminal Panda e Velvet Ant. A natureza de código aberto do TinyShell o torna uma escolha prática, oferecendo facilidade de personalização enquanto complica a atribuição.

Pesquisadores de segurança identificaram seis backdoors distintos baseados no TinyShell, cada um com sua própria funcionalidade:

  • appid (A Poorly Plagiarized Implant Daemon) – Fornece transferência de arquivos, shell interativo, proxy SOCKS e alterações de configuração C2.
  • para (TooObvious) – Semelhante ao appid, mas com diferentes servidores C2 codificados.
  • irad (Internet Remote Access Daemon) – Atua como um backdoor passivo usando sniffing de pacotes via pacotes ICMP.
  • lmpad (Local Memory Patching Attack Daemon) – Usa injeção de processo para evitar registro.
  • jdosd (Junos Denial of Service Daemon) – Um backdoor UDP com recursos de shell remoto.
  • oemd (Obscure Enigmatic Malware Daemon) – Um backdoor passivo que usa TCP para se comunicar com servidores C2.

Ignorando as Proteções de Segurança do Junos OS

Os invasores desenvolveram métodos para executar malware apesar das proteções Verified Exec (veriexec) do Junos OS, que são projetadas para impedir a execução de código não autorizado. Ao obter acesso privilegiado por meio de um servidor de terminal, eles injetam payloads maliciosos em processos legítimos, garantindo persistência enquanto evitam a detecção.

Outras Ferramentas no Arsenal de Ataque

Além dos backdoors do TinyShell, o UNC3886 implementa ferramentas adicionais:

  • Réptil e Medusa – Rootkits para persistência furtiva.
  • PITHOOK – Usado para sequestrar autenticação SSH e capturar credenciais.
  • GHOSTTOWN – Projetado para fins anti-forenses.

É altamente recomendável que organizações que usam dispositivos Juniper atualizem-nos para as versões mais recentes de firmware para mitigar essas ameaças.

Outro Ataque, Outro Autor de Ameaça?

Curiosamente, uma campanha separada, chamada J-Magic, teve como alvo roteadores Juniper de nível empresarial usando uma variante de backdoor conhecida como cd00r. No entanto, essa atividade é atribuída a um grupo diferente vinculado à China, UNC4841, sem vínculos conhecidos com o alvo do UNC3886 de roteadores Juniper em fim de vida útil.

Explorando a CVE-2025-21590 para Persistência

A Juniper Networks confirmou que as infecções recentes exploraram pelo menos uma vulnerabilidade — CVE-2025-21590 (pontuação CVSS v4: 6,7). Essa falha, encontrada no kernel do Junos OS, permite que invasores com altos privilégios injetem código arbitrário, comprometendo, em última análise, a integridade do dispositivo.

Patches foram lançados nas versões Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 e 24.4R1. As organizações devem garantir que estejam executando essas versões atualizadas.

UNC3886: Mestres da Furtividade e da Persistência

A expertise da UNC3886 em sistemas internos avançados é evidente em seu uso estratégico de backdoors passivos, adulteração de logs e evasão forense. Seu objetivo principal continua sendo a persistência de longo prazo, minimizando os riscos de detecção, o que representa um desafio contínuo e significativo de segurança cibernética.

Tendendo

Mais visto

Carregando...