Hackers chinos han desplegado puertas traseras personalizadas en routers MX con Junos OS de Juniper Networks que han llegado al final de su vida útil (EoL) y ya no reciben actualizaciones de seguridad.
¿Qué está ocurriendo?
La campaña fue descubierta por Mandiant en 2024 y se atribuye al grupo de ciberespionaje UNC3886, vinculado a China.
Utilizan variantes del malware TinyShell, una herramienta de código abierto que facilita la ejecución de comandos y el intercambio de datos en sistemas Linux.
UNC3886 ya ha utilizado antes vulnerabilidades de día cero para atacar plataformas de virtualización y dispositivos de red.
Método de ataque y evasión
Los atacantes acceden a los routers Juniper a través de servidores de terminal comprometidos, donde obtienen credenciales para manipular el sistema.
Junos OS cuenta con un sistema de integridad de archivos llamado Veriexec, que impide la ejecución de código no autorizado.
Sin embargo, UNC3886 logró inyectar código malicioso en procesos legítimos, eludiendo estas protecciones.
Las 6 puertas traseras detectadas
Los atacantes han desplegado seis backdoors personalizados, todos basados en TinyShell, diseñados para espionaje persistente y difícil detección:
1️⃣ appid: Activo, imita el proceso legítimo “appidd”, abre una sesión remota y permite subir/descargar archivos.
2️⃣ to: Similar a appid, pero con diferentes direcciones C2.
3️⃣ irad: Pasivo, actúa como un sniffer de paquetes que se activa con un código secreto en el tráfico ICMP.
4️⃣ jdosd: Pasivo, escucha en UDP 33512 y se activa al recibir el valor especial 0xDEADBEEF, otorgando acceso remoto.
5️⃣ oemd: Pasivo, usa cifrado AES para comunicación con el C2 y evita detección.
6️⃣ lmpad: Modifica logs y desactiva monitoreo de seguridad para encubrir la intrusión.
Medidas de mitigación ️
Reemplazar los routers Juniper MX obsoletos por modelos actualizados con soporte activo.
Aplicar las recomendaciones de Juniper Networks que publicó un boletín de mitigación y nuevas firmas para su Juniper Malware Removal Tool (JMRT).
Usar un sistema de gestión de identidades y accesos (IAM) centralizado y habilitar MFA en todos los dispositivos de red.
Indicadores de compromiso (IoCs), reglas YARA y Snort/Suricata están disponibles en el informe de Mandiant.