El Centro Canadiense de Seguridad Cibernética y la Oficina Federal de Investigación de EE. UU. (FBI) han emitido una advertencia de aviso de ataques cibernéticos montados por los actores de tifones de sal vinculados por China para violar importantes proveedores de telecomunicaciones globales como parte de una campaña de espionaje cibernético.
Los atacantes explotaron un software crítico de Cisco IOS XE (CVE-2023-20198, puntaje CVSS: 10.0) para acceder a los archivos de configuración de tres dispositivos de red registrados en una compañía de telecomunicaciones canadiense a mediados de febrero de 2025.
También se dice que los actores de amenaza han modificado al menos uno de los archivos para configurar un túnel de encapsulación de enrutamiento genérico (GRE), lo que permite la colección de tráfico de la red. No se reveló el nombre de la compañía objetivo.
Al afirmar que la orientación probablemente va más allá del sector de telecomunicaciones, las agencias dijeron que la orientación de dispositivos canadienses puede permitir a los actores de amenaza recopilar información de las redes comprometidas y usarlas como apalancamiento para violar los dispositivos adicionales.
«En algunos casos, evaluamos que las actividades de los actores de amenaza probablemente se limitaron al reconocimiento de red», según la alerta.
Las agencias señalaron además que los dispositivos de red Edge continúan siendo un objetivo atractivo para los actores de amenaza patrocinados por el estado chino que buscan violar y mantener el acceso persistente a los proveedores de servicios de telecomunicaciones.
Los hallazgos doblan con un informe anterior del futuro registrado que detalló la explotación de CVE-2023-20198 y CVE-2023-20273 para infiltrarse en las empresas de telecomunicaciones e internet en los Estados Unidos, Sudáfrica e Italia, y aprovechando los establecimientos para establecer túneles GRE para el acceso a largo plazo y la exfiltración de datos.
Reino Unido NCSC advierte sobre el estante de zapatos y el soporte paraguas de malware dirigido a dispositivos Fortinet
El desarrollo se produce cuando el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) reveló dos familias de malware diferentes dobladas con estante de zapato y soporte paraguas que se han encontrado dirigidos a firewalls de la serie FortiGate 100d hechas por Fortinet.
Mientras que Shoe Rack es una herramienta posterior a la explotación para el acceso remoto de la concha y el túnel TCP a través de un dispositivo comprometido, Umbrella Stand está diseñado para ejecutar comandos de shell emitidos desde un servidor controlado por el atacante.
Curiosamente, Shoe Rack se basa en parte en una herramienta disponible públicamente llamada Reverse_Shell, que, casualmente, también ha sido reutilizada por un clúster de amenaza de China-Nexus llamado Purplehaze para diseñar un implante de Windows con nombre en código Goreshell. Actualmente no está claro si estas actividades están relacionadas.
El NCSC dijo que identificó algunas similitudes entre Umbrella Stand y Coathanger, una puerta trasera que anteriormente fue utilizada por los piratas informáticos con respaldo del estado chino en un ataque cibernético dirigido a una red de fuerzas armadas holandesas.