Il gruppo di cyber spionaggio noto come UNC3886, associato alla Cina, è stato recentemente rilevato mentre prende di mira router MX Series di Juniper Networks, ormai obsoleti. Questo attacco è parte di una campagna più ampia che ha l'obiettivo di impiantare backdoor personalizzate, evidenziando la capacità del gruppo di concentrarsi sull'infrastruttura di rete interna. Secondo Mandiant, i backdoor utilizzati presentano diverse capacità, tra cui funzioni attive e passive, oltre a script incorporati per disabilitare i meccanismi di logging sui dispositivi bersaglio.

Questa evoluzione nelle tattiche degli avversari si basa sull'uso di vulnerabilità zero-day in dispositivi Fortinet, Ivanti e VMware per accedere alle reti e mantenere la persistenza per l'accesso remoto. Documentato per la prima volta nel settembre 2022, UNC3886 è considerato altamente abile nel prendere di mira dispositivi edge e tecnologie di virtualizzazione, con l'obiettivo finale di violare organizzazioni nel settore della difesa, tecnologico e delle telecomunicazioni negli Stati Uniti e in Asia.

Utilizzo di TinyShell

Utilizzando TinyShell, un backdoor open-source basato su C, il gruppo ha impiegato sei diverse backdoor, ciascuna con capacità uniche. Tra queste, "appid" supporta il caricamento e il download di file, shell interattivo e proxy SOCKS, mentre "irad" agisce come un sniffer di pacchetti passivo e "jdosd" implementa un backdoor UDP con capacità di trasferimento di file e shell remota.

Il malware è progettato per aggirare le protezioni di Verified Exec (veriexec) di Junos OS, che impediscono l'esecuzione di codice non attendibile. Questo viene ottenuto accedendo con privilegi elevati al router tramite un server terminale, utilizzando credenziali legittime, per iniettare payload malevoli nella memoria di un processo legittimo, attivando così il backdoor lmpad.

UNC3886 dimostra una profonda conoscenza degli internals avanzati dei sistemi, privilegiando la furtività attraverso l'uso di backdoor passive e la manipolazione dei log, indicando un focus sulla persistenza a lungo termine riducendo al minimo il rischio di rilevamento. Juniper Networks ha avviato un progetto chiamato RedPenguin per indagare su queste infezioni, scoprendo che almeno una vulnerabilità di sicurezza ha contribuito agli attacchi riusciti. La vulnerabilità, CVE-2025-21590, è stata corretta in diverse versioni di Junos OS.

Le organizzazioni sono invitate ad aggiornare i loro dispositivi Juniper alle ultime immagini rilasciate, che includono mitigazioni e firme aggiornate per il Juniper Malware Removal Tool (JMRT), per proteggersi da questi attacchi avanzati.