Hackers chinos explotan routers Juniper con puertas traseras personalizadas

Posted on March 12, 2025
Los investigadores de seguridad de Mandiant han descubierto una campaña de ciberespionaje dirigida a routers Juniper Networks Junos OS en fin de vida. El grupo de hackers, identificado como UNC3886 y vinculado a China, ha desplegado puertas traseras personalizadas en dispositivos de red obsoletos. Los atacantes obtuvieron acceso privilegiado utilizando credenciales legítimas y lograron eludir el subsistema de protección de integridad de archivos veriexec de Junos OS.

Una vez dentro, los hackers emplearon técnicas de inyección de procesos para evitar la detección, integrando puertas traseras con funciones tanto activas como pasivas. Además, un script incrustado deshabilitaba los registros de acceso en los dispositivos comprometidos. El análisis reveló que UNC3886 utilizó un método “here document” para generar un archivo codificado en base64 que, una vez decodificado, contenía un archivo comprimido con cargas maliciosas.

Mandiant identificó seis variantes de malware basadas en TINYSHELL, cada una modificada para adaptarse a Junos OS, lo que demuestra el profundo conocimiento del sistema por parte de los atacantes. El grupo se ha centrado en atacar servicios de autenticación de red, como TACACS+, y servidores terminales con acceso a los routers para obtener privilegios elevados.

El análisis completo de la actividad de los atacantes ha sido un desafío debido a la naturaleza propietaria de los dispositivos de red comprometidos. Para ayudar a los equipos de seguridad a identificar posibles infecciones, Mandiant ha publicado Indicadores de Compromiso (IOC) y reglas YARA.

Para mitigar los riesgos, se recomienda a las organizaciones actualizar sus routers Juniper a la última versión del firmware, que incluye medidas de seguridad avanzadas y mitigaciones. También se aconseja ejecutar la herramienta Juniper Malware Removal Tool (JMRT) con un escaneo rápido y una verificación de integridad después de la actualización. Con la evolución constante de las amenazas de ciberespionaje, mantener los sistemas actualizados y aplicar medidas de monitoreo continuo sigue siendo fundamental para la seguridad de las redes.

Source: SecurityWeek

La European Cyber Intelligence Forum es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.