{"id":1618644,"date":"2025-03-12T17:29:27","date_gmt":"2025-03-12T17:29:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-violan-los-enrutadores-de-networks-con-puertas-traseras-personalizadas\/"},"modified":"2025-03-12T17:29:32","modified_gmt":"2025-03-12T17:29:32","slug":"los-piratas-informaticos-chinos-violan-los-enrutadores-de-networks-con-puertas-traseras-personalizadas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-chinos-violan-los-enrutadores-de-networks-con-puertas-traseras-personalizadas\/","title":{"rendered":"Los piratas inform\u00e1ticos chinos violan los enrutadores de Networks con puertas traseras personalizadas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ciber espionaje \/ vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Los-piratas-informaticos-chinos-violan-los-enrutadores-de-Networks-con.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>El grupo de espionaje cibern\u00e9tico de China-Nexus rastreado como UNC3886 se ha observado que se dirige a los enrutadores MX al final de la vida de las redes de Juniper como parte de una campa\u00f1a dise\u00f1ada para implementar puertas traseras personalizadas, destacando su capacidad de enfocarse en la infraestructura interna de redes.<\/p>\n<p>&#8220;Las puertas traseras ten\u00edan diferentes capacidades personalizadas, incluidas las funciones de puerta trasera activa y pasiva, as\u00ed como un script integrado que deshabilita los mecanismos de registro en el dispositivo de destino,&#8221; Mandiant propiedad de Google <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/china-nexus-espionage-targets-juniper-routers\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n<p>La firma de inteligencia de amenazas describi\u00f3 el desarrollo como una evoluci\u00f3n de la artesan\u00eda del adversario, que hist\u00f3ricamente ha aprovechado las vulnerabilidades de d\u00eda cero en los dispositivos Fortinet, Ivanti y VMware para violar las redes de inter\u00e9s y establecer persistencia para el acceso remoto.<\/p>\n<p>Documentado por primera vez en septiembre de 2022, se eval\u00faa que el equipo de pirater\u00eda es &#8220;altamente experto&#8221; y capaz de dirigirse a dispositivos de borde y tecnolog\u00edas de virtualizaci\u00f3n con el objetivo final de violar la defensa, la tecnolog\u00eda y las organizaciones de telecomunicaciones ubicadas en los Estados Unidos y Asia.<\/p>\n<p>Estos ataques generalmente aprovechan el hecho de que tales dispositivos perimetrales de red carecen de soluciones de monitoreo y detecci\u00f3n de seguridad, lo que les permite operar sin obst\u00e1culos y sin llamar la atenci\u00f3n.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;El compromiso de los dispositivos de enrutamiento es una tendencia reciente en las t\u00e1cticas de los adversarios motivados por espionaje, ya que otorga la capacidad de un acceso de alto nivel a largo plazo a la infraestructura de enrutamiento crucial, con el potencial de acciones m\u00e1s disruptivas en el futuro&#8221;, dijo Mandiant.<\/p>\n<p>La \u00faltima actividad, manchada a mediados de 2024, implica el uso de implantes que se basan en <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/creaktive\/tsh\" target=\"_blank\">Peque\u00f1o<\/a>una puerta trasera basada en C que ha sido utilizada por varios grupos de pirater\u00eda chinos como el panda liminal y la hormiga terciopel en el pasado.<\/p>\n<p>Mandiant dijo que identific\u00f3 seis puertas traseras distintas de TinyShell, cada una con una capacidad \u00fanica,<\/p>\n<ul>\n<li>Appid, que admite la carga\/descarga de archivos, el shell interactivo, el proxy de los calcetines y los cambios de configuraci\u00f3n (por ejemplo, servidor de comando y control, n\u00famero de puerto, interfaz de red, etc.)<\/li>\n<li>a, que es lo mismo que APPID pero con un conjunto diferente de servidores C2 codificados<\/li>\n<li>IRAD, una puerta trasera pasiva que act\u00faa como un sniffer de paquetes basado en libpcap para extraer comandos que se ejecutar\u00e1n en el dispositivo desde los paquetes ICMP<\/li>\n<li>LMPAD, una utilidad y una puerta trasera pasiva que puede iniciar un script externo para realizar la inyecci\u00f3n de procesos en procesos leg\u00edtimos de Junos OS para estancar el registro<\/li>\n<li>JDOSD, que implementa una puerta trasera de UDP con transferencia de archivos y capacidades de shell remota<\/li>\n<li>OEMD, una puerta trasera pasiva que se comunica con el servidor C2 a trav\u00e9s de TCP y admite comandos est\u00e1ndar de TinyShell para cargar\/descargar archivos y ejecutar un comando shell<\/li>\n<\/ul>\n<p>Tambi\u00e9n es notable tomar medidas para ejecutar el malware el sorteo &#8216;Ejec verificado del sistema operativo Junos (<a rel=\"noopener nofollow\" href=\"https:\/\/www.juniper.net\/documentation\/us\/en\/software\/junos\/junos-install-upgrade\/topics\/concept\/veriexec.html\" target=\"_blank\">veriexec<\/a>) Protecciones, que evitan que el c\u00f3digo no confiable se ejecute. Esto se logra obteniendo acceso privilegiado a un enrutador desde un servidor terminal utilizado para administrar dispositivos de red utilizando credenciales leg\u00edtimas.<\/p>\n<p>Los permisos elevados se utilizan para inyectar las cargas de \u00fatiles maliciosas en la memoria de un proceso de gato leg\u00edtimo, lo que resulta en la ejecuci\u00f3n de la puerta trasera de LMPAD mientras Veriexec est\u00e1 habilitado.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;El objetivo principal de este malware es deshabilitar todos los registros posibles antes de que el operador se conecte al enrutador para realizar actividades pr\u00e1cticas y luego restaurar los registros despu\u00e9s de que el operador se desconecte&#8221;, se\u00f1al\u00f3 Mandiant.<\/p>\n<p>Algunas de las otras herramientas desplegadas por UNC3886 incluyen Rootkits como Reptile y Medusa; Pithook para secuestrar autenticaciones SSH y capturar credenciales de SSH; y Ghosttown para fines anti-forenses.<\/p>\n<p>Se recomienda a las organizaciones que actualicen sus dispositivos Juniper al <a rel=\"nofollow noopener\" href=\"https:\/\/supportportal.juniper.net\/JSA93446\" target=\"_blank\">\u00daltimas im\u00e1genes<\/a> Lanzado por Juniper Networks, que incluye mitigaciones y firmas actualizadas para la herramienta de eliminaci\u00f3n de malware de Juniper (<a rel=\"nofollow noopener\" href=\"https:\/\/www.juniper.net\/documentation\/us\/en\/software\/junos\/security-services\/topics\/concept\/juniper-malware-removal-tool.html\" target=\"_blank\">Jmrt<\/a>).<\/p>\n<p>El desarrollo se produce poco m\u00e1s de un mes despu\u00e9s de que Lumen Black Lotus Labs revel\u00f3 que los enrutadores de redes de enebro de grado empresarial se han convertido en el objetivo de una puerta trasera personalizada como parte de una campa\u00f1a denominada J-Magic que ofrece una variante de una conocida puerta trasera llamada CD00R.<\/p>\n<p>&#8220;El malware implementado en los enrutadores del sistema operativo Junos de Juniper Networks demuestra que UNC3886 tiene un conocimiento profundo de los internales del sistema avanzado&#8221;, dijeron los investigadores de Mandiant.<\/p>\n<p>&#8220;Adem\u00e1s, UNC3886 contin\u00faa priorizando el sigilo en sus operaciones mediante el uso de puertas traseras pasivas, junto con la manipulaci\u00f3n de artefactos log y forenses, lo que indica un enfoque en la persistencia a largo plazo, al tiempo que minimiza el riesgo de detecci\u00f3n&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/chinese-hackers-breach-juniper-networks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 de marzo de 2025\ue804Ravie LakshmananCiber espionaje \/ vulnerabilidad El grupo de espionaje cibern\u00e9tico de China-Nexus rastreado como<\/p>\n","protected":false},"author":1,"featured_media":1618645,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4289,4664,99,30016,6214,273784,36,273783,79770,4654,273782,4659,4653,4655,24017,6213,66,246983,4665,246984,50975,455,43420,239484],"class_list":["post-1618644","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-chinos","tag-como-hackear","tag-con","tag-enrutadores","tag-informaticos","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-networks","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-personalizadas","tag-piratas","tag-puertas","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-traseras","tag-violacion","tag-violan","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1618644","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1618644"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1618644\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1618645"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1618644"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1618644"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1618644"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}