Los enrutadores de Networks Juniper de grado empresarial se han convertido en el objetivo de una puerta trasera personalizada como parte de una campa\u00f1a doblada J-m\u00e1gico<\/strong>.<\/p>\n Seg\u00fan el equipo de Black Lotus Labs en Lumen Technologies, la actividad se llama as\u00ed por el hecho de que la puerta trasera monitorea continuamente para un “paquete m\u00e1gico” enviado por el actor de amenaza en el tr\u00e1fico de TCP. <\/p>\n “La campa\u00f1a J-Magic marca las raras ocasiones de malware dise\u00f1ado espec\u00edficamente para Junoos, que sirve a un mercado similar pero se basa en un sistema operativo diferente, una variante de FreeBSD”, la compa\u00f1\u00eda dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n La evidencia reunida por la compa\u00f1\u00eda muestra que la primera muestra de la puerta trasera se remonta a septiembre de 2023, con la actividad en curso entre mediados de 2023 y mediados de 2014. Los sectores de semiconductores, energ\u00eda, fabricaci\u00f3n y tecnolog\u00eda de la informaci\u00f3n (TI) fueron los m\u00e1s dirigidos.<\/p>\n Se han informado infecciones en Europa, Asia y Am\u00e9rica del Sur, incluidas Argentina, Armenia, Brasil, Chile, Colombia, Indonesia, Pa\u00edses Bajos, Noruega, Per\u00fa, el Reino Unido, los Estados Unidos y Venezuela.<\/p>\n La campa\u00f1a es notable por implementar un agente despu\u00e9s de obtener el acceso inicial a trav\u00e9s de un m\u00e9todo a\u00fan no detectado. El agente, una variante de una puerta trasera disponible p\u00fablicamente conocida como CD00R<\/a>espera cinco par\u00e1metros predefinidos diferentes antes de comenzar sus operaciones.<\/p>\n Al recibir estos paquetes m\u00e1gicos, el agente est\u00e1 configurado para enviar un desaf\u00edo secundario, despu\u00e9s de lo cual J-Magic establece un shell inverso a la direcci\u00f3n IP y al puerto especificado en el paquete m\u00e1gico. Esto permite a los atacantes controlar el dispositivo, robar datos o implementar cargas \u00fatiles adicionales.<\/p>\n Lumen teoriz\u00f3 que la inclusi\u00f3n del desaf\u00edo es un intento por parte del adversario para evitar que otros actores de amenazas emitan paquetes m\u00e1gicos de manera indiscriminada y reutilice a los agentes J-Magic para cumplir con sus propios objetivos.<\/p>\n Vale la pena se\u00f1alar que otra variante de CD00R, Codenomed Seaspy, se implement\u00f3 en relaci\u00f3n con una campa\u00f1a dirigida a los electrodom\u00e9sticos Barracuda Correo electr\u00f3nico de seguridad de seguridad (ESG) a fines de 2022.<\/p>\n Dicho esto, no hay evidencia en esta etapa para conectar las dos campa\u00f1as, ni la campa\u00f1a J-Magic demuestra ninguna se\u00f1al de que se superpone con otras campa\u00f1as dirigidas a enrutadores de grado empresarial como Jaguar Tooth y BlackTech (tambi\u00e9n conocido como Typhoon Canary).<\/p>\n Se dice que la mayor\u00eda de las direcciones IP potencialmente afectadas son los enrutadores de enebro que act\u00faan como puertas de enlace VPN, con un segundo cl\u00faster m\u00e1s peque\u00f1o que comprende aquellos con un expuesto Puerto netconf<\/a>. Se cree que los dispositivos de configuraci\u00f3n de red pueden haber sido dirigidos a su capacidad para automatizar la informaci\u00f3n y la gesti\u00f3n de la configuraci\u00f3n del enrutador.<\/p>\n Dado que los enrutadores son abusados \u200b\u200bpor los actores del estado-naci\u00f3n que se preparan para ataques de seguimiento, los \u00faltimos hallazgos subrayan la orientaci\u00f3n continua de la infraestructura de borde, en gran parte impulsada por el largo tiempo y la falta de protecciones de detecci\u00f3n y respuesta de punto final (EDR) en tales dispositivos.<\/p>\n “Uno de los aspectos m\u00e1s notables de la campa\u00f1a es el enfoque en los enrutadores de enebro”, dijo Lumen. “Si bien hemos visto una gran orientaci\u00f3n de otros equipos de redes, esta campa\u00f1a demuestra que los atacantes pueden encontrar el \u00e9xito en expansi\u00f3n a otros tipos de dispositivos, como los enrutadores de grado empresarial”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Vulnerabilidad-de-paquetes-magicos-de-explotacion-de-puerta-trasera-personalizada.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n