Statligt sponsrade hackare gömde sig i Cisco-brandväggar – trots uppdateringar

En statligt sponsrad hackargrupp har installerat en anpassad bakdörr i Cisco-nätverkssäkerhetsenheter som kan överleva både firmwareuppdateringar och standardomstarter. Det meddelar amerikanska och brittiska cybersäkerhetsmyndigheter i ett gemensamt meddelande på torsdagen. Upptäckten markerar en betydande eskalering av en kampanj som sedan slutet av 2025 har riktat sig mot regeringar och kritisk infrastruktur.

Firestarter är namnet på den bakdörr som identifierats av Cybersecurity and Infrastructure Security Agency (CISA) och UK National Cyber Security Centre (NCSC). Cisco Talos, företagets hotintelligensavdelning, har kopplat skadeprogrammet till en aktör som de spårar som UAT-4356. Samma grupp tillskrivs även en spionagekampanj från 2024, kallad ArcaneDoor, som riktade in sig på nätverksperimeterenheter.

CISA bekräftar att man upptäckte Firestarter på en Cisco Firepower-enhet tillhörande en amerikansk federal myndighet. Upptäckten gjordes efter att man identifierat misstänkta nätverksanslutningar genom kontinuerlig övervakning. Fyndet ledde till en uppdaterad nödsituationsriktlinje som utfärdades på torsdagen. Den kräver att alla federala myndigheter granskar sin Cisco-brandväggsinfrastruktur och skickar in minnesavbilder för analys före fredag.

Bakdörren överlever säkerhetsuppdateringar

Den centrala oron bakom den uppdaterade direktiven är hackargruppens förmåga att förbli aktiv på komprometterade enheter, även efter att företag har tillämpat de säkerhetspatchar som Cisco släppte i september 2025. Dessa patchar åtgärdade två sårbarheter – CVE-2025-20333, en fjärrkörningsfel i VPN-webservern, och CVE-2025-20362, en otillåten åtkomstsårbarhet – som UAT-4356 utnyttjade för att få initial tillgång.

Enligt CISA kan enheter som redan var komprometterade innan patchningen fortfarande bära på bakdörren. Firestarter möjliggör beständighet genom att manipulera Cisco Service Platforms monteringslista, en konfigurationsfil som styr vilka program som körs under enhetens uppstartssekvens. När enheten får en avstängningssignal eller startar om, kopierar skadeprogrammet sig själv till en sekundär plats och skriver om monteringslistan för att återställa och starta om sig själv efter att systemet är igång igen. Kritiskt nog avlägsnas inte bakdörren vid en standardmjukvaruomstart. Endast en hård omstart – att fysiskt koppla loss enheten från strömförsörjningen – är tillräckligt för att rensa beständighetsmekanismen från minnet, enligt både CISA och Cisco.

Därefter injicerar skadeprogrammet skadlig shellkod i LINA, kärnkod för nätverk och brandväggar i Ciscos Adaptive Security Appliance och Firepower Threat Defense. När det är inbäddat avlyssnar skadeprogrammet en specifik typ av nätverksbegäran som normalt används för VPN-autentisering. När en begäran anländer som innehåller en dold utlösningssekvens, exekveras kod som tillhandahålls av angriparna, vilket ger dem en bakdörr in i enheten.

Koppling till pågående kampanj

Cisco Talos noterar att Firestarter delar betydande tekniska likheter med ett tidigare dokumenterat skadeprogram kallat RayInitiator. Detta tyder på att verktygen delar ett gemensamt ursprung eller utvecklingshistoria inom UAT-4356:s arsenal. I det fall som CISA analyserade hade angriparna först installerat ett separat skadeprogram, kallat Line Viper, för att få tillgång till enhetens konfigurationer, inloggningsuppgifter och krypteringsnycklar. Firestarter installerades kort därefter, innan Ciscos patchar från september 2025 hade tillämpats på de specifika enheterna. När myndigheten patchade sina system förblev Firestarter kvar på enheterna, och aktörerna använde det sedan för att återinstallera skadeprogrammet.