Hackers chineses invadem roteadores da Juniper Networks com backdoors e rootkits personalizados

O grupo de espionagem cibernética UNC3886, ligado à China, tem sido observado explorando roteadores MX descontinuados da Juniper Networks para implantar backdoors personalizados, destacando sua capacidade de comprometer infraestruturas internas de rede.

"Os backdoors possuem funções ativas e passivas, além de um script embutido que desativa os registros de logs no dispositivo-alvo", afirmou a Mandiant, empresa de inteligência de ameaças do Google.

A Mandiant classificou essa ação como uma evolução na estratégia do grupo, que anteriormente explorava vulnerabilidades zero-day em dispositivos da Fortinet, Ivanti e VMware para obter acesso persistente a redes de interesse.

O UNC3886 foi documentado pela primeira vez em setembro de 2022 e demonstrou alta capacidade técnica, visando dispositivos de borda e tecnologias de virtualização com o objetivo final de comprometer organizações dos setores militar, tecnológico e de telecomunicações nos Estados Unidos e na Ásia.

Esses ataques exploram a falta de monitoramento e detecção em dispositivos de perímetro de rede, permitindo que os invasores operem sem serem notados. Segundo a Mandiant, essa abordagem garante acesso prolongado e em alto nível à infraestrutura crítica, aumentando o potencial para ações mais disruptivas no futuro.

Uso de Backdoors Baseados no TinyShell

A atividade mais recente, detectada em meados de 2024, envolve o uso de implantes baseados no TinyShell, um backdoor leve escrito em C, frequentemente utilizado por grupos hackers chineses como Liminal Panda e Velvet Ant.

"Grupos como Velvet Ant e Liminal Panda preferem o TinyShell por sua leveza e compatibilidade com sistemas baseados em Linux", explicou Austin Larsen, analista da Google Threat Intelligence Group. "Como é uma ferramenta de código aberto, ela dispensa grandes investimentos em pesquisa e desenvolvimento, tornando a atribuição do ataque mais difícil para os investigadores."

A Mandiant identificou seis variantes personalizadas do TinyShell, cada uma com funcionalidades distintas:

• appid (A Poorly Plagiarized Implant Daemon): suporta upload/download de arquivos, shell interativo, proxy SOCKS e alterações de configuração.

• to (TooObvious): similar ao appid, mas com servidores de comando e controle (C2) diferentes.

• irad (Internet Remote Access Daemon): backdoor passivo que funciona como um sniffer de pacotes ICMP para extrair comandos.

• lmpad (Local Memory Patching Attack Daemon): backdoor que injeta código nos processos legítimos do Junos OS para desativar logs.

• jdosd (Junos Denial of Service Daemon): backdoor via UDP com suporte para shell remoto e transferência de arquivos.

• oemd (Obscure Enigmatic Malware Daemon): backdoor passivo que se comunica com o servidor C2 via TCP.

Além disso, os hackers conseguiram burlar as proteções do Verified Exec (veriexec) do Junos OS, mecanismo que impede a execução de código não confiável. Eles obtiveram acesso privilegiado ao roteador usando credenciais legítimas e injetaram cargas maliciosas na memória do processo cat, resultando na execução do backdoor lmpad.

Uso de Rootkits e Ferramentas Avançadas

O grupo UNC3886 também utilizou ferramentas como rootkits Reptile e Medusa, PITHOOK para sequestrar autenticações SSH e capturar credenciais, e GHOSTTOWN, uma ferramenta antiforense.

A Mandiant recomenda que as organizações atualizem seus dispositivos Juniper para as versões mais recentes, que incluem correções de segurança e assinaturas para o Juniper Malware Removal Tool (JMRT).

A descoberta acontece pouco depois de o Lumen Black Lotus Labs revelar que roteadores empresariais da Juniper Networks foram alvos de um backdoor customizado em uma campanha chamada J-Magic, que distribuiu uma variante do malware cd00r.

Em julho de 2024, a Juniper Networks lançou o projeto RedPenguin para investigar essas infecções nos roteadores da série MX. Durante a análise, foi identificada a vulnerabilidade CVE-2025-21590 (CVSS 6.7), que permitia que hackers executassem código arbitrário em dispositivos protegidos pelo veriexec.

A Juniper descreveu as ferramentas utilizadas pelos hackers como kits de acesso remoto (RATs) projetados para manter backdoors persistentes em dispositivos Junos OS.

"O malware implantado nos roteadores Juniper Networks demonstra que o UNC3886 possui conhecimento avançado dos sistemas internos", concluiu a Mandiant. "O grupo prioriza a discrição, utilizando backdoors passivos e manipulação de logs para garantir persistência de longo prazo, minimizando o risco de detecção."

Via - THN