El grupo de ciberespionaje UNC3886, vinculado a China, ha sido identificado como el responsable de una nueva campaña de ataques dirigidos a routers Juniper Networks con el sistema operativo Junos OS. La empresa de ciberseguridad Mandiant descubrió en 2024 que estos actores de amenazas implantaron backdoors personalizados en estos dispositivos, permitiendo acceso encubierto y persistente a las redes de las víctimas. Este incidente se suma a una creciente lista de ataques a dispositivos de red y virtualización, áreas de interés clave para UNC3886.
Mandiant detectó múltiples versiones de TINYSHELL, un malware modular altamente sofisticado, que operaba en routers Juniper Networks con hardware y software fuera de soporte. La investigación reveló que los atacantes:
- Usaron backdoors activos y pasivos para mantener acceso oculto a los dispositivos.
- Deshabilitaron registros de actividad y mecanismos de monitoreo, evitando la detección.
- Aprovecharon vulnerabilidades en routers en desuso para infiltrarse sin ser detectados.
- Realizaron inyecciones de código malicioso en procesos legítimos, evadiendo la protección de seguridad Veriexec.
En opinión de los investigadores, el uso de estos métodos demuestra un conocimiento avanzado sobre la arquitectura de Junos OS y las debilidades de los dispositivos de red.
UNC3886: un grupo con acceso a exploits de día cero
El grupo UNC3886 ha sido vinculado previamente a ataques dirigidos a tecnologías de virtualización y dispositivos de borde de red, como se evidenció en campañas previas de 2022 y 2023. Su principal objetivo es obtener acceso persistente en infraestructuras críticas, especialmente en sectores de defensa, telecomunicaciones y tecnología en Estados Unidos y Asia.
El ataque a los routers Juniper refuerza la teoría de que UNC3886 posee o tiene acceso a exploits de día cero, permitiéndoles infiltrarse en sistemas sin parches conocidos.
El malware utilizado: análisis de los backdoors en routers Juniper
Mandiant identificó al menos seis variantes de malware utilizadas en la campaña, todas derivadas de TINYSHELL, pero con modificaciones específicas para Junos OS:
- appid – Backdoor activo que simula el proceso legítimo «appidd».
- to – Variante similar a appid, con diferente configuración de servidores C2.
- irad – Backdoor pasivo con funcionalidad de sniffer de paquetes.
- lmpad – Herramienta de persistencia que inhabilita registros y oculta actividad.
- jdosd – Backdoor pasivo basado en UDP.
- oemd – Variante pasiva que usa interfaces específicas de red para la comunicación con el C2.
Tácticas de evasión y persistencia
El grupo UNC3886 ha demostrado una habilidad avanzada para mantener su presencia en redes comprometidas a través de tácticas de evasión y persistencia sofisticadas.
Para evitar la detección, inyectaron código malicioso en procesos legítimos como “snmpd” y “mgd” en los routers Juniper, modificando su comportamiento y alterando su memoria en ejecución para eludir las alertas de seguridad.
Además, utilizaron herramientas para filtrar y modificar el tráfico en tiempo real, redirigiendo el flujo de datos y ocultando conexiones sospechosas a los sistemas de seguridad.
Finalmente, manipularon los logs y eventos de seguridad del sistema operativo Junos OS, modificando archivos de registro y procesos internos para asegurar que su actividad permaneciera oculta incluso durante auditorías forenses.
¿Qué pueden hacer las empresas para protegerse?
Ante la alta sofisticación de este ataque, las empresas que operan dispositivos Juniper deben tomar medidas inmediatas para mitigar los riesgos. Es crucial actualizar los dispositivos a la versión más reciente de Junos OS y aplicar todos los parches de seguridad recomendados.
Además, se debe ejecutar el Juniper Malware Removal Tool (JMRT) para identificar y eliminar posibles infecciones. Implementar la autenticación multifactor (MFA) para el acceso a dispositivos de red y restringir los privilegios administrativos son pasos esenciales.
También es vital monitorizar la actividad en redes y dispositivos de borde, utilizando soluciones avanzadas de detección de amenazas. Finalmente, adoptar estrategias de segmentación de red, reduciendo la exposición de dispositivos críticos a ataques externos, fortalecerá significativamente la postura de seguridad.
El descubrimiento de esta campaña reafirma la creciente tendencia de grupos de ciberespionaje a dirigirse a infraestructuras de red y dispositivos de borde, en lugar de limitarse a endpoints tradicionales. UNC3886 continúa evolucionando sus tácticas, lo que indica que las organizaciones deben fortalecer sus medidas de ciberseguridad para evitar accesos no autorizados y posibles fugas de información crítica.
