A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) revelou um incidente crítico envolvendo um dispositivo Cisco Firepower pertencente a uma agência federal, comprometido por um malware avançado chamado FIRESTARTER. A ameaça, associada a um grupo APT, demonstra um nível elevado de sofisticação ao conseguir manter persistência mesmo após a aplicação de correções de segurança.

O ataque explora vulnerabilidades previamente corrigidas no software Cisco ASA, incluindo falhas críticas que permitem execução remota de código e acesso não autenticado a endpoints restritos. Uma vez exploradas, essas brechas fornecem acesso privilegiado ao dispositivo, permitindo que os hackers implantem ferramentas de pós-exploração como o LINE VIPER, um toolkit capaz de executar comandos, capturar tráfego de rede, contornar autenticação VPN (AAA) e até suprimir logs para evitar detecção.

A partir desse ponto, o malware FIRESTARTER é implantado como backdoor persistente. Desenvolvido como um binário ELF para Linux, ele se integra ao processo de inicialização do dispositivo ao modificar a lista de montagem de boot. Isso garante que o malware seja automaticamente executado a cada reinicialização — sobrevivendo inclusive a atualizações de firmware e reboots convencionais.

Outro aspecto crítico é a capacidade do FIRESTARTER de se integrar ao processo LINA, componente central responsável pelo processamento de tráfego e funções de segurança no dispositivo. Ao inserir um hook nesse processo, o malware passa a interceptar operações legítimas e executar código arbitrário enviado pelos invasores, utilizando inclusive pacotes especialmente manipulados durante autenticações WebVPN.

Mesmo após a correção das vulnerabilidades exploradas, dispositivos previamente comprometidos permanecem infectados, uma vez que o malware não é removido automaticamente pelos updates. Isso representa um risco significativo, pois permite que os invasores mantenham acesso contínuo ao ambiente sem necessidade de reinfecção.

Para remoção completa da ameaça, a Cisco recomenda a reinstalação total do sistema (reimage) e atualização para versões corrigidas. Como mitigação temporária, um simples reboot não é suficiente — é necessário um desligamento físico do equipamento (power cycle) para remover o implante da memória ativa, embora isso não elimine a persistência configurada no boot.

O cenário é agravado por indícios de que a campanha esteja relacionada a grupos com vínculos à China, que vêm utilizando dispositivos de borda — como firewalls, roteadores e equipamentos IoT — como ponto de entrada estratégico em redes corporativas e governamentais.

Além disso, relatórios recentes indicam que esses grupos estão operando redes encobertas compostas por dispositivos comprometidos (como roteadores domésticos e câmeras IP), formando uma infraestrutura distribuída para mascarar ataques e dificultar a atribuição. Esse modelo permite que o tráfego malicioso atravesse múltiplos dispositivos intermediários antes de atingir o alvo final.

O caso reforça uma tendência preocupante no cenário de ameaças: o foco crescente em dispositivos de perímetro, que muitas vezes ficam fora do escopo de soluções tradicionais de segurança de endpoint e identidade. Esses equipamentos, quando comprometidos, oferecem um ponto de acesso persistente, de baixa visibilidade e altamente estratégico dentro da rede.

Organizações devem tratar dispositivos de rede como ativos críticos, garantindo atualização contínua, monitoramento de integridade, revisão de configurações e, em casos de suspeita de comprometimento, considerar a substituição completa ou reinstalação do sistema.