La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha revelado que el dispositivo Cisco Firepower de una agencia civil federal anónima que ejecuta el software Adaptive Security Appliance (ASA) se vio comprometido en septiembre de 2025 con un malware llamado INICIO DEL FUEGO.
FIRESTARTER, según CISA y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, es juzgado ser una puerta trasera diseñada para acceso y control remotos. Se cree que se implementó como parte de una campaña «generalizada» orquestada por un actor de amenaza persistente avanzada (APT) para obtener acceso al firmware de Cisco Adaptive Security Appliance (ASA) mediante la explotación de fallas de seguridad ahora parcheadas, como:
- CVE-2025-20333 (Puntuación CVSS: 9,9): una validación inadecuada de la vulnerabilidad de entrada proporcionada por el usuario que podría permitir que un atacante remoto autenticado con credenciales de usuario de VPN válidas ejecute código arbitrario como root en un dispositivo afectado mediante el envío de solicitudes HTTP diseñadas.
- CVE-2025-20362 (Puntuación CVSS: 6,5): una validación inadecuada de la vulnerabilidad de entrada proporcionada por el usuario que podría permitir que un atacante remoto no autenticado acceda a puntos finales de URL restringidos sin autenticación mediante el envío de solicitudes HTTP diseñadas.
«FIRESTARTER puede persistir como una amenaza activa en dispositivos Cisco que ejecutan software ASA o Firepower Threat Defense (FTD), manteniendo la persistencia posterior a la aplicación de parches y permitiendo a los actores de amenazas volver a acceder a los dispositivos comprometidos sin volver a explotar las vulnerabilidades», dijeron las agencias.
En el incidente investigado, se descubrió que los actores de amenazas implementaron un conjunto de herramientas posteriores a la explotación llamado LINE VIPER que puede ejecutar comandos CLI, realizar capturas de paquetes, omitir la autenticación, autorización y contabilidad de VPN (AAA) para dispositivos actores, suprimir mensajes syslog, recopilar comandos CLI de usuarios y forzar un reinicio retrasado.
El acceso elevado proporcionado por LINE VIPER sirvió como conducto para FIRESTARTER, que se implementó en el dispositivo Firepower antes del 25 de septiembre de 2025, lo que permitió a los actores de amenazas mantener un acceso continuo y regresar al dispositivo comprometido el mes pasado.
FIRESTARTER, un binario ELF de Linux, puede configurar la persistencia en el dispositivo y sobrevivir a las actualizaciones de firmware y reinicios del dispositivo a menos que se produzca un ciclo de encendido completo. El malware se aloja en la secuencia de inicio del dispositivo manipulando una lista de montaje de inicio, lo que garantiza que se reactiva automáticamente cada vez que el dispositivo se reinicia normalmente. Dejando a un lado la resistencia, también comparte cierto nivel de superposición con un kit de arranque previamente documentado denominado RayInitiator.
«FIRESTARTER intenta instalar un gancho, una forma de interceptar y modificar las operaciones normales, dentro de LINA, el motor central del dispositivo para el procesamiento de red y las funciones de seguridad», según el aviso. «Este gancho permite la ejecución de código shell arbitrario proporcionado por los actores APT, incluido el despliegue de LINE VIPER».
«Aunque los parches de Cisco abordaron CVE-2025-20333 y CVE-2025-20362, los dispositivos comprometidos antes de la aplicación del parche pueden seguir siendo vulnerables porque las actualizaciones de firmware no eliminan FIRESTARTER».
Cisco, que está rastreando la actividad de explotación asociada con las dos vulnerabilidades bajo el nombre de UAT4356 (también conocido como Storm-1849), descrito FIRESTARTER como puerta trasera que facilita la ejecución de shellcode arbitrario recibido por el proceso LINA al analizar solicitudes de autenticación WebVPN especialmente diseñadas que contienen un «paquete mágico».
Se desconocen los orígenes exactos de la actividad de la amenaza, aunque un análisis de la plataforma de gestión de superficies de ataque Censys en mayo de 2024 sugirió vínculos con China. UAT4356 se atribuyó por primera vez a una campaña llamada ArcaneDoor que explotaba dos fallas de día cero en los equipos de red de Cisco para entregar malware personalizado capaz de capturar el tráfico y el reconocimiento de la red.
«Para eliminar por completo el mecanismo de persistencia, Cisco recomienda encarecidamente volver a crear una imagen y actualizar el dispositivo», dijo Cisco. dicho. «En casos de compromiso confirmado en cualquier plataforma Cisco Secure ASA o FTD, todos los elementos de configuración del dispositivo deben considerarse no confiables».
Como medidas de mitigación hasta que se puedan realizar nuevas imágenes, la compañía recomienda que los clientes realicen un reinicio en frío para retirar el implante FIRESTARTER. «Los comandos CLI de apagar, reiniciar y recargar no eliminarán el implante malicioso persistente; se debe desconectar el cable de alimentación y volver a enchufarlo al dispositivo», agregó.
Los piratas informáticos chinos pasan de la infraestructura adquirida individualmente a las redes encubiertas
La divulgación se produce cuando Estados Unidos, el Reino Unido y varios socios internacionales liberado un aviso conjunto sobre redes a gran escala de enrutadores SOHO y dispositivos IoT comprometidos requisados por actores de amenazas del nexo con China para disfrazar sus ataques de espionaje y complicar los esfuerzos de atribución.
Grupos patrocinados por el estado como Volt Typhoon y Flax Typhoon han estado utilizando estas botnets, que consisten en enrutadores domésticos, cámaras de seguridad, grabadoras de video y otros dispositivos de IoT, para apuntar a sectores de infraestructura críticos y realizar ciberespionaje de una «manera negable, de bajo costo y bajo costo», según la alerta.
Lo que complica aún más las cosas es el hecho de que las redes se actualizan constantemente, sin mencionar que varios grupos de amenazas afiliados a China pueden usar la misma botnet al mismo tiempo, lo que dificulta que los defensores los identifiquen y bloqueen mediante listas de bloqueo de IP estáticas.
«Las redes encubiertas consisten principalmente en enrutadores SOHO comprometidos, pero también incorporan cualquier dispositivo vulnerable que puedan explotar a escala», dijeron las agencias. «Su tráfico será reenviado a través de múltiples dispositivos comprometidos, utilizados como nodos transversales, antes de salir de la red desde un nodo de salida, generalmente en la misma región geográfica que el objetivo».
Los hallazgos subrayan un patrón común observado en los ataques patrocinados por el estado: apuntar a dispositivos perimetrales de red pertenecientes a redes residenciales, empresariales y gubernamentales con el objetivo de convertirlos en un nodo proxy o interceptar datos y comunicaciones confidenciales.
