Nhóm gián điệp mạng UNC3886

Tổ chức gián điệp mạng có liên hệ với Trung Quốc UNC3886 đã tích cực nhắm mục tiêu vào các bộ định tuyến MX đã hết hạn sử dụng để triển khai các cửa hậu tùy chỉnh. Chiến dịch này nhấn mạnh khả năng xâm nhập vào cơ sở hạ tầng mạng nội bộ của chúng, sử dụng các cửa hậu có cả khả năng chủ động và thụ động. Một số biến thể thậm chí còn chứa các tập lệnh nhúng được thiết kế để tắt cơ chế ghi nhật ký, cho phép kẻ tấn công hoạt động mà không bị phát hiện.

Một nhóm đe dọa đang phát triển

UNC3886 có tiền sử lợi dụng các lỗ hổng zero-day trong các thiết bị Fortinet, Ivanti và VMware để xâm phạm mạng và thiết lập sự tồn tại lâu dài. Hoạt động mới nhất này thể hiện sự phát triển về kỹ thuật của chúng, tập trung vào phần cứng mạng thường thiếu giám sát bảo mật.

Kể từ hoạt động đầu tiên được ghi nhận vào tháng 9 năm 2022, UNC3886 đã chứng minh được năng lực cao trong việc nhắm mục tiêu vào các thiết bị biên và công nghệ ảo hóa, hướng đến các lĩnh vực quốc phòng, công nghệ và viễn thông tại Hoa Kỳ và Châu Á.

Tại sao phải định tuyến thiết bị?

Những kẻ thù do gián điệp thúc đẩy gần đây đã chuyển sang xâm phạm các thiết bị định tuyến. Bằng cách giành quyền kiểm soát cơ sở hạ tầng quan trọng, kẻ tấn công có thể duy trì quyền truy cập kéo dài đồng thời có khả năng thực hiện các hoạt động gây gián đoạn trong tương lai.

Kết nối TinyShell: Một vũ khí được lựa chọn

Hoạt động mới nhất, được phát hiện vào giữa năm 2024, liên quan đến các bản cấy ghép dựa trên TinyShell, một backdoor nhẹ dựa trên C được các nhóm tin tặc Trung Quốc như Liminal Panda và Velvet Ant ưa chuộng. Bản chất mã nguồn mở của TinyShell khiến nó trở thành một lựa chọn thiết thực, mang lại khả năng tùy chỉnh dễ dàng trong khi làm phức tạp việc xác định nguồn gốc.

Các nhà nghiên cứu bảo mật đã xác định sáu cửa hậu riêng biệt dựa trên TinyShell, mỗi cửa hậu có chức năng riêng:

• appid (Một Daemon cấy ghép sao chép kém) – Cung cấp khả năng truyền tệp, shell tương tác, proxy SOCKS và thay đổi cấu hình C2.
• to (TooObvious) – Tương tự như appid nhưng có máy chủ C2 được mã hóa cứng khác.
• irad (Internet Remote Access Daemon) – Hoạt động như một cửa hậu thụ động bằng cách sử dụng chức năng đánh hơi gói tin thông qua các gói ICMP.
• lmpad (Local Memory Patching Attack Daemon) – Sử dụng tính năng chèn tiến trình để tránh ghi nhật ký.
• jdosd (Junos Denial of Service Daemon) – Một cửa hậu UDP có khả năng điều khiển shell từ xa.
• oemd (Obscure Enigmatic Malware Daemon) – Một cửa hậu thụ động sử dụng TCP để giao tiếp với máy chủ C2.

Bỏ qua các biện pháp bảo vệ an ninh của Junos OS

Những kẻ tấn công đã phát triển các phương pháp để thực thi phần mềm độc hại bất chấp các biện pháp bảo vệ Verified Exec (veriexec) của Junos OS, được thiết kế để ngăn chặn việc thực thi mã trái phép. Bằng cách có được quyền truy cập đặc quyền thông qua máy chủ đầu cuối, chúng đưa các tải trọng độc hại vào các quy trình hợp pháp, đảm bảo tính bền bỉ trong khi tránh bị phát hiện.

Nhiều công cụ hơn trong kho vũ khí tấn công

Bên cạnh các cửa hậu TinyShell, UNC3886 triển khai các công cụ bổ sung:

• Reptile & Medusa – Rootkit có khả năng ẩn náu bí mật.
• PITHOOK – Được sử dụng để chiếm quyền xác thực SSH và đánh cắp thông tin đăng nhập.
• GHOSTTOWN – Được thiết kế cho mục đích chống pháp y.

Các tổ chức sử dụng thiết bị Juniper được khuyến cáo nên cập nhật lên phiên bản phần mềm mới nhất để giảm thiểu các mối đe dọa này.

Một cuộc tấn công khác, một tác nhân đe dọa khác?

Thật thú vị, một chiến dịch riêng biệt, được gọi là J-Magic, đã nhắm mục tiêu vào các bộ định tuyến Juniper cấp doanh nghiệp bằng cách sử dụng một biến thể cửa sau được gọi là cd00r. Tuy nhiên, hoạt động này được cho là do một nhóm khác có liên hệ với Trung Quốc, UNC4841, không có mối liên hệ nào được biết đến với mục tiêu nhắm vào các bộ định tuyến Juniper đã hết vòng đời của UNC3886.

Khai thác CVE-2025-21590 để duy trì tính bền bỉ

Juniper Networks đã xác nhận rằng các vụ nhiễm trùng gần đây đã khai thác ít nhất một lỗ hổng—CVE-2025-21590 (điểm CVSS v4: 6.7). Lỗ hổng này, được tìm thấy trong nhân Junos OS, cho phép những kẻ tấn công có đặc quyền cao chèn mã tùy ý, cuối cùng làm tổn hại đến tính toàn vẹn của thiết bị.

Các bản vá đã được phát hành trong Junos OS phiên bản 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 và 24.4R1. Các tổ chức phải đảm bảo rằng họ đang chạy các phiên bản cập nhật này.

UNC3886: Bậc thầy của sự tàng hình và bền bỉ

Chuyên môn của UNC3886 về nội bộ hệ thống tiên tiến được thể hiện rõ qua việc sử dụng chiến lược các cửa hậu thụ động, can thiệp nhật ký và trốn tránh pháp y. Mục tiêu chính của nó vẫn là sự bền bỉ lâu dài trong khi giảm thiểu rủi ro phát hiện, điều này đặt ra thách thức an ninh mạng đang diễn ra và đáng kể.