Se ha observado que un clúster de actividad de amenaza dirigida a los electrodomésticos de la serie 100 de acceso móvil Sonicwall Secure de Fin de Lifewall (SMA) totalmente empatado como parte de una campaña diseñada para lanzar una puerta trasera llamada TRASPASAR.
La actividad maliciosa, que se remonta a al menos en octubre de 2024, ha sido atribuida por el Grupo de Inteligencia de Amenazos de Google (GTIG) a un grupo que rastrea tanto UNC6148.
El gigante tecnológico evaluó con gran confianza que el actor de amenaza está «aprovechando las credenciales y las semillas de contraseña única (OTP) robadas durante las intrusiones anteriores, lo que les permite recuperar el acceso incluso después de que las organizaciones hayan aplicado actualizaciones de seguridad».
«El análisis de los registros de metadatos de tráfico de red sugiere que UNC6148 puede haber exfiltrado inicialmente estas credenciales del dispositivo SMA a partir de enero de 2025.»
El vector de acceso inicial exacto utilizado para entregar el malware actualmente no se conoce debido a los pasos dados por los actores de amenaza para eliminar las entradas de registro. Pero se cree que el acceso puede haberse obtenido mediante la explotación de fallas de seguridad conocidas como CVE-2021-20035, CVE-2021-20038, CVE-2021-20039, CVE-2024-38475 o CVE-2025-32819.
Alternativamente, el equipo de inteligencia de amenazas del gigante tecnológico teorizó que las credenciales del administrador podrían haberse obtenido a través de registros de robo de información o adquiridos de los mercados de credenciales. Sin embargo, dijo que no encontró ninguna evidencia para respaldar esta hipótesis.
Al obtener acceso, se ha descubierto que los actores de amenaza establecen una sesión SSL-VPN y generan un caparazón inversa, aunque la forma en que esto se logró sigue siendo un misterio dado que el acceso a la concha no debería ser posible por diseño en estos electrodomésticos. Se cree que puede haber sido logrado por medio de un defecto de día cero.
El shell inverso se utiliza para ejecutar comandos de reconocimiento y manipulación de archivos, sin mencionar la configuración de exportación e importación al dispositivo SMA, lo que sugiere que UNC6148 puede haber alterado un archivo de configuración exportado fuera de línea para incluir nuevas reglas para que sus operaciones no sean interrumpidas ni bloqueadas por las puertas de acceso de acceso.
Los ataques culminan en la implementación de un implante previamente indocumentado llamado Overstep que es capaz de modificar el proceso de arranque del dispositivo para mantener el acceso persistente, así como el robo de credenciales y ocultar sus propios componentes para evadir la detección al parchear varias funciones relacionadas con el sistema de archivos.
Esto se logra mediante la implementación de un USERMode rootKit a través de las funciones de biblioteca estándar secuestradas que se abre y readdir, lo que le permite ocultar los artefactos asociados con el ataque. El malware también se inclina en la función de escritura API para recibir comandos de un servidor controlado por el atacante en forma de integrado dentro de las solicitudes web –
- cajónque inicia un shell inverso a la dirección IP y el puerto especificados
- dopasswordsque crea un archivo de alquitrán de los archivos /tmp/temp.db, /etc/easyaccess/var/conf/persist.db, y/etc/easyaccess/var/cert, y guarda en la ubicación «/usr/src/easy/fácil/www/htdocs/» para que se pueda descargar a través de una ubicación en una web.
«UNC6148 modificó el archivo RC legítimo ‘/etc/rc.d/rc.fwboot’ para lograr la persistencia para sobrepasar», dijo Gtig. «Los cambios significaron que cada vez que se reiniciara el aparato, el binario sobrependiente se cargaría en el sistema de archivos en ejecución en el dispositivo».
Una vez que se completa el paso de implementación, el actor de amenaza procede a borrar los registros del sistema y reinicia el firewall para activar la ejecución de la puerta trasera basada en C. El malware también intenta eliminar las trazas de ejecución de comandos de diferentes archivos de registro, incluidos httpd.log, http_request.log e inotify.log.
«El éxito del actor en ocultar sus pistas se debe en gran medida a la capacidad de Overstep para eliminar selectivamente las entradas de registro (de los tres archivos de registro)», dijo Google. «Esta medida antiforense, combinada con una falta de historial de conchas en el disco, reduce significativamente la visibilidad de los objetivos secundarios del actor».
Google ha evaluado con la confianza media de que UNC6148 puede haber armado una vulnerabilidad de ejecución de código remoto desconocido de día cero para implementar sobrevitores en los dispositivos SMA de Sonicwall específicos. Además, se sospecha que las operaciones se llevan a cabo con la intención de facilitar el robo de datos y las operaciones de extorsión, e incluso la implementación de ransomware.
Esta conexión se debe al hecho de que una de las organizaciones que fue dirigida por UNC6148 fue publicada en el sitio de filtros de datos operado por World Leaks, una pandilla de extorsión dirigida por individuos previamente asociados con el esquema de ransomware de Hunters International. Vale la pena señalar que Hunters International cerró recientemente su empresa criminal.
Según Google, UNC6148 exhibe superposiciones tácticas con la explotación previa de los dispositivos SMA de Sonicwall observados en julio de 2023 que involucraba a un actor de amenaza desconocido que desplegó un shell web, un mecanismo de ocultación y una forma de garantizar la persistencia en las actualizaciones de firmware, según Truesec.
La actividad de explotación fue vinculada posteriormente por el investigador de seguridad Stephan Berger con el despliegue del ransomware Abyss.
Los hallazgos una vez más resaltan cómo los actores de amenaza se centran cada vez más en sistemas de red de borde que generalmente no están cubiertos por herramientas de seguridad comunes como la detección y respuesta de punto final (EDR) o el software antivirus y se deslizan en redes de destino desapercibidas.
«Las organizaciones deben adquirir imágenes de disco para el análisis forense para evitar la interferencia de las capacidades anti-forenses de RootKit. Las organizaciones pueden necesitar interactuar con SonicWall para capturar imágenes de disco de los electrodomésticos», dijo Google.