Un grupo de piratas informáticos patrocinado por el estado ha implantado una puerta trasera personalizada en los dispositivos de seguridad de red de Cisco que puede sobrevivir a las actualizaciones de firmware y reinicios estándar, revelaron el jueves las autoridades de ciberseguridad de EE. UU. y Gran Bretaña, lo que marca una escalada significativa en una campaña que se ha dirigido a redes gubernamentales y de infraestructura crítica desde al menos finales de 2025.

La Agencia de Seguridad Cibernética y de Infraestructura y el Centro Nacional de Seguridad Cibernética del Reino Unido publicaron conjuntamente un informe de análisis de malware identificando la puerta trasera, cuyo nombre en código es Firestarter. La división de inteligencia de amenazas de Cisco, Talos, atribuyó el malware a un actor de amenazas al que rastrea como UAT-4356. La compañía atribuyó al mismo grupo a una campaña de espionaje de 2024 llamada ArcaneDoor, que se centró en comprometer los dispositivos del perímetro de la red.

CISA confirmó que descubrió Firestarter en el dispositivo Cisco Firepower de una agencia civil federal de EE. UU. después de identificar conexiones sospechosas a través de un monitoreo continuo de la red. El hallazgo provocó una directiva de emergencia actualizada emitido el jueves, que exige que todas las agencias civiles federales auditen su infraestructura de firewall Cisco y envíen instantáneas de la memoria del dispositivo para su análisis antes del viernes.

Una puerta trasera que dura más que los parches

La preocupación central que impulsa la directiva actualizada es la capacidad del grupo de ataque para persistir en los dispositivos comprometidos, incluso después de que las empresas aplicaron los parches de seguridad que Cisco lanzó en septiembre de 2025. Esos parches abordaron dos vulnerabilidades: CVE-2025-20333una falla de ejecución remota de código en el componente del servidor web VPN, y CVE-2025-20362una vulnerabilidad de acceso no autorizado, que UAT-4356 aprovechó para obtener la entrada inicial. Según CISA, los dispositivos comprometidos antes del parche aún pueden albergar el implante.

Firestarter permite a los atacantes lograr persistencia manipulando la lista de montaje de Cisco Service Platform, un archivo de configuración que gobierna qué programas se ejecutan durante la secuencia de inicio del dispositivo. Cuando el dispositivo recibe una señal de terminación o se reinicia, el malware se copia a sí mismo en una ubicación secundaria y reescribe la lista de montaje para restaurarse y reiniciarse después de que el sistema vuelva a estar en línea.

Fundamentalmente, un reinicio estándar del software no elimina el implante. Según CISA y Cisco, sólo un reinicio completo (desconectar físicamente el dispositivo de su fuente de alimentación) es suficiente para borrar el mecanismo de persistencia de la memoria.

A partir de ahí, el malware inyecta un código shell malicioso en LINA, el código central de red y firewall del software Adaptive Security Appliance y Firepower Threat Defense de Cisco. Una vez integrado, el malware intercepta un tipo específico de solicitud de red que normalmente se utiliza para la autenticación VPN. Cuando llega una solicitud que contiene una secuencia de activación oculta, ejecuta el código proporcionado por los atacantes, dándoles una puerta trasera al dispositivo.

Vínculos con la campaña en curso

Cisco Talos señaló que Firestarter comparte importantes similitudes técnicas con un implante previamente documentado llamado RayInitiator, lo que sugiere que las herramientas comparten un origen común o una historia de desarrollo dentro del arsenal de UAT-4356.

En el incidente de la agencia federal analizado por CISA, los atacantes primero implementaron un implante separado, llamado Line Viper, para obtener acceso a las configuraciones, credenciales y claves de cifrado del dispositivo. Firestarter se instaló poco después, antes de que se aplicaran los parches de Cisco de septiembre de 2025 a esos dispositivos específicos. Cuando la agencia parchó sus sistemas, Firestarter permaneció en los dispositivos y los actores lo usaron para volver a implementar Line Viper en marzo, casi seis meses después de la infracción inicial.

Cisco y CISA no atribuyeron los ataques de espionaje a un estado nacional específico, pero los investigadores de Censys dijeron anteriormente que encontraron evidencia convincente que indicaba una grupo de amenaza con sede en China estaba detrás de la campaña ArcaneDoor. Censys señaló que encontró evidencia de múltiples redes chinas importantes y software anticensura desarrollado en China durante su investigación sobre los ataques de principios de 2024.

La vulnerabilidad de persistencia afecta a una amplia gama de hardware de Cisco, incluidas las series Firepower 1000, 2100, 4100 y 9300, así como las series Secure Firewall 1200, 3100 y 4200.

Cisco ha lanzado software actualizado para abordar el mecanismo de persistencia, aunque la compañía recomienda encarecidamente volver a crear imágenes de los dispositivos afectados en lugar de depender únicamente de las actualizaciones de software cuando se sospecha que están comprometidos.

El incidente refleja un patrón que se observa cada vez más entre los piratas informáticos vinculados al estado: atacar los dispositivos de borde de la red en los que confían las organizaciones para hacer cumplir los límites de seguridad. Debido a que estos dispositivos se encuentran en el perímetro de las redes empresariales y gubernamentales, comprometerlos puede exponer el tráfico interno y dar a los atacantes una posición para interceptar credenciales y comunicaciones.

CISA reconoció que en el momento de la publicación se estaba explotando activamente las vulnerabilidades subyacentes.

Un portavoz de Cisco le dijo a CyberScoop que los clientes que necesiten asistencia deben comunicarse Asistencia Técnica Cisco para apoyo. CISA no respondió a una solicitud de comentarios.