El Centro Canadiense de Seguridad Cibernética y la Oficina Federal de Investigación de EE. UU. (FBI) han emitido una advertencia de aviso de ataques cibernéticos montados por los actores de tifones de sal vinculados por China para violar importantes proveedores de telecomunicaciones globales como parte de una campaña de espionaje cibernético.
Los atacantes explotaron un software crítico de Cisco IOS XE (CVE-2023-20198, puntaje CVSS: 10.0) para aceptar a los archivos de configuración de tres dispositivos de red registrados en una compañía de telecomunicaciones canadiense a mediados de febrero de 2025.
Asimismo se dice que los actores de amenaza han modificado al menos uno de los archivos para configurar un túnel de encapsulación de enrutamiento genérico (GRE), lo que permite la colección de tráfico de la red. No se reveló el nombre de la compañía objetivo.
Al afirmar que la orientación probablemente va más allá del sector de telecomunicaciones, las agencias dijeron que la orientación de dispositivos canadienses puede permitir a los actores de amenaza compilar información de las redes comprometidas y usarlas como apalancamiento para violar los dispositivos adicionales.
“En algunos casos, evaluamos que las actividades de los actores de amenaza probablemente se limitaron al examen de red”, según la alerta.
Las agencias señalaron encima que los dispositivos de red Edge continúan siendo un objetivo atractivo para los actores de amenaza patrocinados por el estado chino que buscan violar y proseguir el paso persistente a los proveedores de servicios de telecomunicaciones.
Los hallazgos doblan con un referencia susodicho del futuro registrado que detalló la explotación de CVE-2023-20198 y CVE-2023-20273 para infiltrarse en las empresas de telecomunicaciones e internet en los Estados Unidos, Sudáfrica e Italia, y aprovechando los establecimientos para establecer túneles GRE para el paso a derrochador plazo y la exfiltración de datos.
Reino Unido NCSC advierte sobre el estante de zapatos y el soporte paraguas de malware dirigido a dispositivos Fortinet
El expansión se produce cuando el Centro Franquista de Seguridad Cibernética del Reino Unido (NCSC) reveló dos familias de malware diferentes dobladas con estante de zapato y soporte paraguas que se han contrario dirigidos a firewalls de la serie FortiGate 100d hechas por Fortinet.
Mientras que Shoe Rack es una útil posterior a la explotación para el paso remoto de la concha y el túnel TCP a través de un dispositivo comprometido, Umbrella Stand está diseñado para ejecutar comandos de shell emitidos desde un servidor controlado por el atacante.
Curiosamente, Shoe Rack se cimiento en parte en una útil acondicionado públicamente llamamiento Reverse_Shell, que, casualmente, igualmente ha sido reutilizada por un clúster de amenaza de China-Nexus llamado Purplehaze para diseñar un implante de Windows con nombre en código Goreshell. Actualmente no está claro si estas actividades están relacionadas.
El NCSC dijo que identificó algunas similitudes entre Umbrella Stand y Coathanger, una puerta trasera que anteriormente fue utilizada por los piratas informáticos con respaldo del estado chino en un ataque cibernético dirigido a una red de fuerzas armadas holandesas.
