Un grupo de piratas informáticos patrocinado por el estado ha implantado una puerta trasera personalizada en los dispositivos de seguridad de red de Cisco que puede sobrevivir a las actualizaciones de firmware y reinicios estándar, revelaron el jueves las autoridades de ciberseguridad de EE. UU. y Gran Bretaña, lo que marca una escalada significativa en una campaña que se ha dirigido a redes gubernamentales y de infraestructura crítica desde al menos finales de 2025.

La Agencia de Seguridad Cibernética y de Infraestructura y el Centro Nacional de Seguridad Cibernética del Reino Unido publicaron conjuntamente un informe de análisis de malware identificando la puerta trasera, cuyo nombre en código es Firestarter. La división de inteligencia de amenazas de Cisco, Talos, atribuyó el malware a un actor de amenazas al que rastrea como UAT-4356. La compañía atribuyó al mismo grupo a una campaña de espionaje de 2024 llamada ArcaneDoor, que se centró en comprometer los dispositivos del perímetro de la red.

CISA confirmó que descubrió Firestarter en el dispositivo Cisco Firepower de una agencia civil federal de EE. UU. después de identificar conexiones sospechosas a través de un monitoreo continuo de la red. El hallazgo provocó una directiva de emergencia actualizada emitido el jueves, que exige que todas las agencias civiles federales auditen su infraestructura de firewall Cisco y envíen instantáneas de la memoria del dispositivo para su análisis antes del viernes.

Una puerta trasera que dura más que los parches

La preocupación central que impulsa la directiva actualizada es la capacidad del grupo de ataque para persistir en los dispositivos comprometidos, incluso después de que las empresas aplicaron los parches de seguridad que Cisco lanzó en septiembre de 2025. Esos parches abordaron dos vulnerabilidades: CVE-2025-20333una falla de ejecución remota de código en el componente del servidor web VPN, y CVE-2025-20362una vulnerabilidad de acceso no autorizado, que UAT-4356 aprovechó para obtener la entrada inicial. Según CISA, los dispositivos comprometidos antes del parche aún pueden albergar el implante.

Firestarter permite a los atacantes lograr persistencia manipulando la lista de montaje de Cisco Service Platform, un archivo de configuración que gobierna qué programas se ejecutan durante la secuencia de inicio del dispositivo. Cuando el dispositivo recibe una señal de terminación o se reinicia, el malware se copia a sí mismo en una ubicación secundaria y reescribe la lista de montaje para restaurarse y reiniciarse después de que el sistema vuelva a estar en línea.

Fundamentalmente, un reinicio estándar del software no elimina el implante. Según CISA y Cisco, sólo un reinicio completo (desconectar físicamente el dispositivo de su fuente de alimentación) es suficiente para borrar el mecanismo de persistencia de la memoria.

A partir de ahí, el malware inyecta un código shell malicioso en LINA, el código central de red y firewall del software Adaptive Security Appliance y Firepower Threat Defense de Cisco. Una vez integrado, el malware intercepta un tipo específico de solicitud de red que normalmente se utiliza para la autenticación VPN. Cuando llega una solicitud que contiene una secuencia de activación oculta, ejecuta el código proporcionado por los atacantes, dándoles una puerta trasera al dispositivo.

Vínculos con la campaña en curso

Cisco Talos señaló que Firestarter comparte importantes similitudes técnicas con un implante previamente documentado llamado RayInitiator, lo que sugiere que las herramientas comparten un origen común o una historia de desarrollo dentro del arsenal de UAT-4356.

En el incidente de la agencia federal analizado por CISA, los atacantes primero implementaron un implante separado, llamado Line Viper, para obtener acceso a las configuraciones, credenciales y claves de cifrado del dispositivo. Firestarter se instaló poco después, antes de que se aplicaran los parches de Cisco de septiembre de 2025 a esos dispositivos específicos. Cuando la agencia parchó sus sistemas, Firestarter permaneció en los dispositivos y los actores lo usaron para volver a implementar Line Viper en marzo, casi seis meses después de la infracción inicial.

Cisco y CISA no atribuyeron los ataques de espionaje a un estado nacional específico, pero los investigadores de Censys dijeron anteriormente que encontraron evidencia convincente que indicaba una grupo de amenaza con sede en China estaba detrás de la campaña ArcaneDoor. Censys señaló que encontró evidencia de múltiples redes chinas importantes y software anticensura desarrollado en China durante su investigación sobre los ataques de principios de 2024.

La vulnerabilidad de persistencia afecta a una amplia gama de hardware de Cisco, incluidas las series Firepower 1000, 2100, 4100 y 9300, así como las series Secure Firewall 1200, 3100 y 4200.

Cisco ha lanzado software actualizado para abordar el mecanismo de persistencia, aunque la compañía recomienda encarecidamente volver a crear imágenes de los dispositivos afectados en lugar de depender únicamente de las actualizaciones de software cuando se sospecha que están comprometidos.

El incidente refleja un patrón que se observa cada vez más entre los piratas informáticos vinculados al estado: atacar los dispositivos de borde de la red en los que confían las organizaciones para hacer cumplir los límites de seguridad. Debido a que estos dispositivos se encuentran en el perímetro de las redes empresariales y gubernamentales, comprometerlos puede exponer el tráfico interno y dar a los atacantes una posición para interceptar credenciales y comunicaciones.

CISA reconoció que en el momento de la publicación se estaba explotando activamente las vulnerabilidades subyacentes.

Un portavoz de Cisco le dijo a CyberScoop que los clientes que necesiten asistencia deben comunicarse Asistencia Técnica Cisco para apoyo. CISA no respondió a una solicitud de comentarios.

Las campañas que emplean proveedores comerciales de vigilancia rastrearon objetivos explotando las vulnerabilidades de la red de telefonía móvil en lo que los investigadores dijeron el jueves fue la primera vinculación de «tráfico de ataque del mundo real a la infraestructura de señalización de operadores móviles».

Los dos desconocidos detrás de las campañas imitaron las identidades de operadores de telefonía móvil con herramientas de vigilancia personalizadas, manipularon protocolos de señalización y dirigieron el tráfico a través de vías de red para ocultarse, según investigación del Citizen Lab de la Universidad de Toronto.

«Nuestros hallazgos resaltan un problema sistémico en el centro de las telecomunicaciones globales: la infraestructura del operador diseñada para permitir una conectividad internacional fluida se está aprovechando para respaldar operaciones de vigilancia encubiertas que son difíciles de monitorear, atribuir y regular», se lee en un informe publicado el jueves.

«A pesar de los repetidos informes públicos, esta actividad continúa sin cesar y sin consecuencias», escribieron Gary Miller y Swantje Lange para Citizen Lab. «El uso continuo de redes móviles, construidas sobre un modelo de estrecha confianza entre operadores y en las que confían usuarios de todo el mundo, plantea preguntas más amplias para los reguladores nacionales, los formuladores de políticas y la industria de las telecomunicaciones sobre la responsabilidad, la supervisión y la seguridad global».

Los atacantes se basaron en identificadores e infraestructura asociados con operadores de todo el mundo, incluidas redes con sede en Camboya, China, la isla autónoma de Jersey, Israel, Italia, Lesotho, Liechtenstein, Marruecos, Mozambique, Namibia, Polonia, Ruanda, Suecia, Suiza, Tailandia, Uganda y el Reino Unido.

Cambiaron entre los protocolos SS7 y Diámetro, los protocolos de señalización conocidos para 3G y 4G/la mayor parte de 5G, respectivamente, según el informe. Si bien se suponía que Diámetro era más seguro que SS7, la Comisión Federal de Comunicaciones en 2024 abrió una sonda tanto en sus vulnerabilidades como en las de SS7, y el senador Ron Wyden, demócrata por Oregon, ha pedido un informe de la Agencia de Ciberseguridad y Seguridad de la Información sobre las vulnerabilidades de las telecomunicaciones arraigadas en ambos protocolos.

Pero identificar a los proveedores utilizados en las dos campañas de vigilancia, o quién estaba detrás de ellas, estaba fuera del alcance de los investigadores.

«La realidad es que hay varios proveedores de vigilancia conocidos y malos actores en este espacio, pero dada la naturaleza opaca de los protocolos de señalización de telecomunicaciones, esos proveedores pueden operar sin revelar exactamente quiénes son realmente», escribió Ron Deibert, director de Citizen Lab, en su boletín. «Muchas de las cosas maliciosas que están haciendo se mezclan con el flujo, que de otro modo sería voluminoso, de miles de millones de mensajes normales y señales itinerantes. Son 'operadores fantasmas' dentro del ecosistema global de telecomunicaciones».

Uno de los operadores mencionados en el informe de Citizen Lab, 019 Mobile, con sede en Israel, respondió que no reconocía los nombres de host a los que se hace referencia en el informe como nodos de red de 019 Mobile y no podía atribuir la actividad de señalización que representa a la infraestructura operada por 019 Mobile.

Otro operador, claro, dijo a TechCrunch que no cede conscientemente el acceso a la señalización a organizaciones que la utilizan para rastrear personas y que ha tomado medidas preventivas para defenderse contra el uso indebido.

Claro, 019 Mobile y un tercer operador, Tango Networks UK, no respondieron a las solicitudes de comentarios de CyberScoop. El informe de Citizen Lab dio cierta gracia a los operadores.

«Es importante señalar que el hecho de que el operador señale las direcciones observadas en los ataques no implica necesariamente la participación directa del operador», afirma. «En algunos casos, el acceso al ecosistema de señalización se puede obtener a través de proveedores externos, acuerdos de arrendamiento comercial u otros servicios intermediarios que permiten a los actores enviar mensajes utilizando identificadores de operador de redes legítimas».