A atividade do grupo UAT-4356 voltou ao radar após novas evidências de exploração ativa contra dispositivos Cisco Firepower que executam FXOS. A investigação conduzida pela Cisco Talos detalha a implantação do backdoor FIRESTARTER, usado para obter acesso remoto persistente e executar código arbitrário dentro do processo LINA. O caso reforça a importância de atualização rápida, visibilidade de ameaças e capacidade de resposta em ambientes de perímetro.
Neste artigo, analisamos o funcionamento do malware, os mecanismos de persistência e as recomendações de detecção e mitigação.
Campanha ativa e exploração de vulnerabilidades n-day
O grupo UAT-4356 explorou vulnerabilidades de 2025 — CVE-2025-20333 e CVE-2025-20362 — para comprometer dispositivos expostos. Esse tipo de exploração ocorre após a divulgação pública das falhas, quando ainda existem ambientes sem patch aplicado. Portanto, o intervalo entre advisory e atualização torna-se um fator crítico de risco.
Além disso, a atividade atual mantém relação com a campanha ArcaneDoor, atribuída anteriormente ao mesmo ator e voltada à espionagem por meio de comprometimento de equipamentos de borda. Esse histórico indica uma estratégia consistente: obter visibilidade e controle sobre dispositivos que processam tráfego corporativo sensível.
A Cisco recomenda que clientes consultem o Security Advisory oficial para identificar produtos afetados, indicadores de comprometimento e versões seguras.
O backdoor FIRESTARTER dentro do processo LINA
O FIRESTARTER foi desenvolvido especificamente para operar dentro do processo LINA, componente central dos appliances ASA e FTD. Essa escolha não é aleatória. O LINA controla funções críticas como inspeção de tráfego, VPN e APIs de autenticação.
Primeiramente, o implante injeta shellcode diretamente na memória do processo. Em seguida, ele substitui um handler legítimo responsável por processar requisições XML da WebVPN. Esse comportamento permite interceptar requisições legítimas e executar payloads maliciosos sem interromper o funcionamento normal do equipamento.
O fluxo de execução segue a lógica abaixo:
-
O malware intercepta requisições XML WebVPN.
-
Ele procura padrões específicos de prefixo definidos pelo atacante.
-
Caso o padrão exista, executa shellcode em memória.
-
Caso contrário, encaminha a requisição ao handler legítimo.
Portanto, o ataque ocorre de forma silenciosa e integrada ao fluxo normal do dispositivo.
A análise técnica mostra semelhanças significativas com artefatos do RayInitiator Stage 3, especialmente no mecanismo de parsing XML e execução de payloads.
Persistência transitória e evasão de detecção
Um dos aspectos mais sofisticados do FIRESTARTER é o mecanismo de persistência transitória. O malware manipula a variável CSP_MOUNT_LIST do Cisco Service Platform para garantir execução durante reinicializações controladas.
Consequentemente, a persistência não permanece no disco após reinicializações completas com desligamento físico. Esse detalhe dificulta investigações forenses baseadas apenas em artefatos persistentes.
Além disso, após injetar o shellcode no LINA, o malware remove arquivos temporários e restaura configurações originais. Essa abordagem reduz a probabilidade de detecção por verificações simples de integridade.
Indicadores de comprometimento
A detecção do FIRESTARTER exige atenção a artefatos específicos. Embora não sejam indicadores definitivos, eles podem sinalizar comprometimento.
Os principais pontos incluem:
Processos suspeitos
-
saída do comando:
show kernel process | include lina_cs
Arquivos potencialmente maliciosos
-
/usr/bin/lina_cs -
/opt/cisco/platform/logs/var/log/svc_samcore.log
Entretanto, esses indicadores são frágeis devido à natureza transitória da persistência. Portanto, a correlação com telemetria e logs torna-se essencial.
A CISA publicou orientações adicionais para identificação e mitigação, reforçando a gravidade do cenário.
Mitigação e resposta ao incidente
A mitigação exige ações imediatas e coordenadas. A recomendação principal é atualizar os dispositivos afetados conforme o advisory da Cisco.
Em ambientes comprometidos, a ação mais eficaz consiste em reimaginar os appliances. Esse procedimento remove completamente o implante.
Em dispositivos FTD sem lockdown mode, existe uma alternativa emergencial:
-
Encerrar o processo malicioso via shell expert.
-
Reiniciar o equipamento.
Clientes do Snort podem aplicar regras específicas que detectam as CVEs exploradas e o próprio FIRESTARTER. Além disso, assinaturas do ClamAV identificam o malware em varreduras.
Mesmo assim, a atualização permanece a medida mais importante para eliminar a vulnerabilidade explorada.
About The Author
