Un backdoor persistente su firewall Cisco
Un gruppo di hacker sponsorizzato da uno Stato ha installato una backdoor personalizzata sui dispositivi di sicurezza di rete Cisco, in grado di sopravvivere agli aggiornamenti del firmware e ai riavvii standard. Le autorità statunitensi e britanniche di cybersecurity hanno lanciato l'allarme, rivelando un'escalation in una campagna che colpisce reti governative e infrastrutture critiche almeno dal tardo 2025.
La Cybersecurity and Infrastructure Security Agency (CISA) e il National Cyber Security Centre (NCSC) del Regno Unito hanno pubblicato un rapporto congiunto di analisi malware, identificando la backdoor con il nome in codice Firestarter. La divisione Talos di Cisco ha attribuito il malware a un attore minaccioso tracciato come UAT-4356, lo stesso gruppo responsabile della campagna di spionaggio ArcaneDoor del 2024, che aveva come obiettivo i dispositivi di perimeter network.
Scoperta su un dispositivo governativo statunitense
La CISA ha confermato di aver rilevato Firestarter su un dispositivo Cisco Firepower di un'agenzia civile federale statunitense, dopo aver identificato connessioni sospette tramite monitoraggio continuo della rete. La scoperta ha portato a una direttiva di emergenza aggiornata, pubblicata giovedì, che impone a tutte le agenzie civili federali di:
- Eseguire un audit delle infrastrutture firewall Cisco;
- Inviare snapshot della memoria dei dispositivi per analisi entro venerdì.
Come funziona la backdoor Firestarter
Il principale motivo di preoccupazione è la capacità del gruppo di mantenere la persistenza sui dispositivi compromessi, anche dopo l'applicazione delle patch di sicurezza rilasciate da Cisco nel settembre 2025. Questi aggiornamenti avevano risolto due vulnerabilità — CVE-2025-20333 (esecuzione remota di codice nel componente VPN web server) e CVE-2025-20362 (accesso non autorizzato) — sfruttate da UAT-4356 per ottenere l'accesso iniziale.
Secondo la CISA, i dispositivi compromessi prima dell'applicazione delle patch potrebbero ancora ospitare l'impianto. Firestarter consente agli attaccanti di ottenere persistenza manipolando la Service Platform mount list di Cisco, un file di configurazione che governa quali programmi vengono eseguiti durante la sequenza di avvio del dispositivo.
Quando il dispositivo riceve un segnale di terminazione o viene riavviato, il malware si copia in una posizione secondaria e riscrive la mount list per ripristinare e rilanciare se stesso dopo il riavvio del sistema. Un riavvio standard non rimuove l'impianto. Solo un hard reboot — cioè la disconnessione fisica dell'alimentazione — è sufficiente per eliminare il meccanismo di persistenza dalla memoria, come confermato sia dalla CISA che da Cisco.
Successivamente, il malware inietta un shellcode dannoso in LINA, il codice di rete e firewall di Cisco Adaptive Security Appliance e Firepower Threat Defense. Una volta integrato, il malware intercetta un tipo specifico di richiesta di rete utilizzata normalmente per l'autenticazione VPN. Quando una richiesta contiene una sequenza nascosta di attivazione, esegue il codice fornito dagli attaccanti, concedendo loro l'accesso alla backdoor del dispositivo.
Legami con la campagna in corso
Talos di Cisco ha rilevato che Firestarter condivide similitudini tecniche significative con un altro impianto precedentemente documentato, chiamato RayInitiator, suggerendo che entrambi gli strumenti condividano un'origine comune o una storia di sviluppo all'interno dell'arsenale di UAT-4356.
Nell'incidente analizzato dalla CISA su un'agenzia federale, gli attaccanti hanno prima schierato un altro impianto, chiamato Line Viper, per ottenere accesso alle configurazioni dei dispositivi, alle credenziali e alle chiavi di crittografia. Successivamente, è stato installato Firestarter, prima che venissero applicati gli aggiornamenti di Cisco nel settembre 2025. Anche dopo la patch, Firestarter è rimasto attivo e gli attaccanti lo hanno utilizzato per ri-deployare altri malware.
«Questa campagna dimostra una sofisticazione senza precedenti nel mantenere l'accesso persistente su dispositivi di rete critici, anche dopo l'applicazione delle patch. È fondamentale che le organizzazioni agiscano tempestivamente per identificare e rimuovere queste minacce.»
— Rapporto congiunto CISA e NCSC
Articoli correlati
L'IA avanzata rivoluzionerà la guerra, avverte un alto ufficiale del Pentagono
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Cybersecurity: l'identità digitale diventa cruciale nell'era dell'IA secondo la Casa Bianca
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn subisce un attacco informatico: ransomware Nitrogen colpisce stabilimenti nordamericani
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
App di analisi delle feci con IA: in vendita un database con 150mila immagini di utenti
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI supera ogni benchmark: i nuovi modelli autonomi rivoluzionano la cybersecurity
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
La Camera indaga sul modello AI Mythos di Anthropic: audizioni e rischi informatici in primo piano
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
AI come arma: il nuovo fronte della frode e dello spoofing delle identità
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...
OpenAI lancia Daybreak: l'IA per la sicurezza informatica con accesso controllato
OpenAI has unveiled Daybreak, a cybersecurity initiative that combines the company’s large language models with its Codex agentic framework to help or...