Hackers chinos atacan routers de Juniper Networks, se recomienda aplicar el parche de inmediato.
Las organizaciones del ámbito de la defensa, tecnología y telecomunicaciones están siendo objeto de ataques a través de puertas traseras.
Investigadores de Mandiant han identificado una nueva campaña de ciberataques que tiene como objetivo los routers de Juniper Networks, atribuida a un grupo de actores chinos. Este grupo ha estado dirigiendo sus esfuerzos principalmente hacia empresas de telecomunicaciones, defensa y tecnología, tanto en Estados Unidos como en Asia. En un análisis detallado publicado recientemente, Mandiant destacó que estas actividades maliciosas se detectaron por primera vez a mediados de 2024 y se asociaron con el grupo de espionaje UNC3886, conocido por sus ataques previos a productos como VMware e Ivanti VPN, utilizando puertas traseras y otros tipos de malware.
Los atacantes han aprovechado un fallo crítico en los routers Session Smart de Juniper, logrando eludir Veriexec, un subsistema de integridad de archivos del sistema operativo Junos que protege contra la ejecución de código no autorizado. Los investigadores explicaron que estos atacantes son capaces de ejecutar código malicioso al inyectarlo en la memoria de procesos legítimos, lo que les permite sortear las defensas que deberían proteger el sistema.
Mandiant ha identificado seis muestras de malware distintas utilizadas por UNC3886, todas ellas variantes de la puerta trasera TINYSHELL, que poseen capacidades únicas. Si bien comparten la misma funcionalidad básica, difieren en los métodos de activación y en características específicas para distintos sistemas operativos.
Los especialistas recomiendan a los usuarios de dispositivos Juniper actualizar su software a las versiones más recientes, que incluyen mitigaciones y firmas actualizadas para la Herramienta de Remoción de Malware de Juniper (JMRT). Tras la actualización, es aconsejable utilizar esta herramienta para verificar la integridad de los puntos finales.
Además, Mandiant subrayó que no han encontrado correlaciones técnicas entre las actividades de UNC3886 y las reportadas públicamente por otros grupos denominados Volt Typhoon o Salt Typhoon, sugiriendo que estos podrían ser entidades distintas, aunque potencialmente operando bajo el mismo paraguas.
