O grupo de espionagem cibernética China-nexus, rastreado como UNC3886, foi observado atacando roteadores MX em fim de vida útil da Juniper Networks como parte de uma campanha projetada para implantar backdoors personalizados, destacando sua capacidade de se concentrar na infraestrutura de rede interna.
“Os backdoors tinham vários recursos personalizados, incluindo funções de backdoor ativas e passivas, bem como um script incorporado que desabilita os mecanismos de registro no dispositivo de destino”, disse a Mandiant, de propriedade do Google , em um relatório compartilhado com o The Hacker News.
A empresa de inteligência de ameaças descreveu o desenvolvimento como uma evolução da estratégia do adversário, que historicamente aproveitou vulnerabilidades de dia zero em dispositivos Fortinet, Ivanti e VMware para violar redes de interesse e estabelecer persistência para acesso remoto.
Documentado pela primeira vez em setembro de 2022, o grupo de hackers é considerado “altamente hábil” e capaz de atingir dispositivos de ponta e tecnologias de virtualização com o objetivo final de violar organizações de defesa, tecnologia e telecomunicações localizadas nos Estados Unidos e na Ásia.
Esses ataques geralmente aproveitam o fato de que esses dispositivos de perímetro de rede não possuem soluções de monitoramento e detecção de segurança, o que lhes permite operar sem impedimentos e sem atrair atenção.
