Im September 2025 wurde ein ziviles US-Bundesbehördennetzwerk Ziel einer hochentwickelten Cyberattacke auf den Netzwerkperimeter. Angreifer kompromittierten einen Cisco Firepower-Firewall mit Adaptive Security Appliance (ASA)-Software und platzierten eine neue, bisher unbekannte Backdoor namens FIRESTARTER. Der Vorfall, den die US-Cybersicherheitsbehörde CISA und das britische National Cyber Security Centre (NCSC) gemeinsam analysierten, verdeutlicht, wie stark staatlich unterstützte Gruppen inzwischen auf Perimetergeräte fokussiert sind.
Gezielter APT-Angriff auf Cisco ASA/FTD: FIRESTARTER im Fokus
Laut CISA, NCSC und Cisco ist FIRESTARTER Teil einer breit angelegten APT-Kampagne, die sich gegen Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) richtet. Cisco führt die Aktivität unter der Bezeichnung UAT4356 (Storm-1849). Bereits 2024 hatten Internet-Scans der Plattform Censys mögliche Verbindungen zu chinesisch ausgerichteten Operatoren aufgezeigt; eine endgültige technische Attribution bleibt jedoch offen und wird von seriösen Stellen bewusst zurückhaltend behandelt.
Für den Erstzugriff nutzten die Angreifer bereits gepatchte Schwachstellen wie CVE-2025-20333 und CVE-2025-20362, die in der früheren Kampagne ArcaneDoor missbraucht wurden. Typisch für fortgeschrittene Angreifer ist dabei das Ausnutzen von Zero-Day- und N-Day-Schwachstellen in VPN-Gateways und Firewalls, wie es auch aus früheren Vorfällen bei Pulse Secure, Fortinet oder anderen Herstellern bekannt ist. Branchenberichte wie der Verizon Data Breach Investigations Report (DBIR) und Warnungen von CISA belegen seit Jahren einen klaren Trend: Perimetergeräte gehören zu den bevorzugten Einstiegspunkten für APT-Gruppen.
Post-Exploitation-Toolkit LINE VIPER: Vollzugriff auf kompromittierte Firewalls
Nach erfolgreicher Ausnutzung der Schwachstellen installierten die Angreifer auf dem kompromittierten Cisco-Firewall das maßgeschneiderte Post-Exploitation-Framework LINE VIPER. Dieses Toolkit verschafft den Operatoren administrativen Remote-Zugriff und erweitert die Kontrolle über das Gerät erheblich.
Zu den dokumentierten Funktionen von LINE VIPER gehören unter anderem die Remote-Ausführung von CLI-Kommandos, das Erstellen von Packet Captures, das gezielte Umgehen von VPN-AAA-Mechanismen für Angreifergeräte, das Unterdrücken kritischer Syslog-Meldungen, das Abfangen von Administratorbefehlen sowie das Auslösen zeitverzögerter Neustarts. In der Praxis bedeutet dies: Der Angreifer kann sich dauerhaft im Netzwerk verbergen, den Datenverkehr manipulieren oder exfiltrieren und Incident-Response-Maßnahmen aktiv behindern. Von dieser privilegierten Position aus wurde anschließend die eigentliche Backdoor FIRESTARTER installiert, die spätestens seit dem 25. September 2025 auf dem betroffenen System aktiv war.
FIRESTARTER-Implantat: Persistente Linux-Backdoor in Cisco ASA und Firepower
FIRESTARTER ist ein speziell angepasstes Linux-ELF-Implantat, das auf die Firmware-Architektur von Cisco ASA und FTD zugeschnitten ist. Es zielt auf maximale Persistenz ab und übersteht sowohl Standard-Neustarts als auch reguläre Firmware-Updates. Technisch erreicht die Malware dies, indem sie sich in den Boot-Prozess einklinkt und die Mount-Sequenz beim Start manipuliert. Dadurch wird FIRESTARTER bei jedem normalen Reboot automatisch wieder aktiviert.
Entfernt wird das Implantat nach aktueller Analyse nur durch einen „Cold Restart“, also ein hartes Abschalten der Stromversorgung. Administrative Befehle wie shutdown, reload oder reboot reichen nicht aus, da sie lediglich einen sauberen Neustart des kompromittierten Systems auslösen. In Aufbau und Persistenzmechanismus bestehen Parallelen zu früher beschriebenen Bootkits wie RayInitiator, was auf wiederverwendete Codebasis oder ein gemeinsames Entwicklerumfeld hindeutet.
Manipulation von LINA und Aktivierung über WebVPN-Magiepakete
Ein zentrales technisches Detail der Kampagne ist der Versuch, einen Hook in LINA einzubauen. LINA ist der Kernprozess der Cisco-ASA-Plattform und verantwortet zentrale Sicherheitsfunktionen sowie die Verarbeitung des Netzwerkverkehrs. Durch das Einhängen eines Hooks wird der reguläre Programmfluss unterbrochen und durch angreiferseitigen Code ersetzt.
Nach den Empfehlungen von CISA und Cisco eröffnet dieser Mechanismus die Möglichkeit, beliebigen Shellcode auszuführen, der durch den APT-Operator nachgeladen wird. So kann unter anderem das Toolkit LINE VIPER jederzeit reaktiviert werden. Aktiviert wird FIRESTARTER demnach über speziell präparierte WebVPN-Authentifizierungsanfragen, die ein „magisches Paket“ enthalten. Sobald LINA solche Anfragen verarbeitet, wird der schädliche Code ausgeführt. Kritisch ist dabei, dass bereits infizierte Geräte auch nach Einspielen der offiziellen Patches für CVE-2025-20333 und CVE-2025-20362 kompromittiert bleiben, da das Firmware-Update das persistente Implantat nicht automatisch entfernt.
Incident Response: Empfehlungen von Cisco, CISA und NCSC
Cisco empfiehlt Organisationen, bei jedem Hinweis auf eine Kompromittierung durch FIRESTARTER oder LINE VIPER ein vollständiges Reimaging der betroffenen ASA- oder FTD-Geräte durchzuführen und unmittelbar auf eine aktuelle, abgesicherte Firmware-Version zu aktualisieren. Sämtliche Konfigurationselemente – inklusive VPN-Profile, Benutzerkonten und ACLs – sollten als potenziell manipuliert betrachtet werden. In der Praxis bedeutet dies, dass Konfigurationen idealerweise aus verifizierten, offline gesicherten Backups rekonstruiert und manuell geprüft werden müssen.
Vor der Neuinstallation des Images raten Cisco und Regierungs-CERTs zu einem physischen Kaltstart: Das Gerät muss vollständig vom Stromnetz getrennt und anschließend neu eingeschaltet werden. Nur so wird das im RAM respawnende Implantat zuverlässig entfernt. Ergänzend sollten Security-Teams ungewöhnliche WebVPN-Sessions, Auffälligkeiten in Syslog-Meldungen, anomalen Datenverkehr von und zu ASA-/FTD-Geräten sowie verdächtige CLI-Befehlsfolgen überwachen.
Staatlich gesteuerte Botnetze auf Basis von SOHO-Routern und IoT-Geräten
Parallel zur Veröffentlichung der technischen Details zu FIRESTARTER veröffentlichten die USA, Großbritannien und weitere Partnerstaaten eine gemeinsame Warnung zu umfangreichen Botnetzen aus kompromittierten SOHO-Routern und IoT-Geräten. Diese Infrastruktur wird unter anderem Gruppen mit mutmaßlichem China-Bezug wie Volt Typhoon und Flax Typhoon zugeschrieben.
Die Angreifer missbrauchen schwach abgesicherte Heimrouter, Videoüberwachungssysteme, DVRs und andere IoT-Komponenten, um daraus verteilte Proxy- und Tarnnetzwerke aufzubauen. Der Angriffsverkehr wird häufig über mehrere solcher Zwischenstationen (sogenannte Traversal Nodes) geroutet, wobei der letzte Exit-Knoten gezielt in derselben Region wie das Opfer gewählt wird. Dies erschwert sowohl die Netzwerkanalyse als auch die Attribution erheblich und macht rein IP-basierte Blocklisten weitgehend ineffektiv, da sich die Botnet-Infrastruktur dynamisch und ständig weiterentwickelt.
Die aktuellen Vorfälle rund um FIRESTARTER und SOHO-Botnetze zeigen einen gemeinsamen Trend: Perimetergeräte – von Heimroutern bis zu Enterprise-Firewalls – sind strategische Schlüsselziele für staatlich unterstützte Angreifer. Organisationen jeder Größe sollten daher ihre Schutzkonzepte für den Netzwerkperimeter kritisch überprüfen: Firmware von Cisco ASA/FTD und SOHO-Routern konsequent aktuell halten, verdächtige Geräte regelmäßig „kalt“ neu starten, anomale VPN- und WebVPN-Sitzungen sowie ungewöhnliche Syslog- und NetFlow-Muster überwachen, Netzwerke stark segmentieren und Zero-Trust-Prinzipien schrittweise umsetzen. Ein strukturierter Sicherheitsprozess, der Herstellerhinweise, CISA-/NCSC-Warnungen und regelmäßige unabhängige Audits einbezieht, reduziert das Risiko erheblich, dass Unternehmens- oder Behördeninfrastrukturen unbemerkt Teil eines APT-Botnetzes oder einer langfristigen Zugriffsplattform wie FIRESTARTER werden.
