En septiembre de 2025, una agencia civil federal de Estados Unidos sufrió una intrusión dirigida en su perímetro de red que derivó en la compromisión de un firewall Cisco Firepower con software Cisco Adaptive Security Appliance (ASA). La investigación conjunta de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) y del National Cyber Security Centre (NCSC) del Reino Unido atribuye un papel central a una nueva backdoor denominada FIRESTARTER, diseñada específicamente para mantenerse oculta y persistente en dispositivos de seguridad de red.
Ataques APT contra Cisco ASA: explotación de vulnerabilidades y campaña UAT4356
Según CISA y NCSC, FIRESTARTER forma parte de una campaña a gran escala contra dispositivos Cisco ASA y Cisco Firepower Threat Defense (FTD), orientada a obtener control profundo sobre la firmware de estos equipos perimetrales. Los atacantes emplearon vulnerabilidades ya parcheadas, como CVE-2025-20333 y CVE-2025-20362, previamente observadas en la campaña ArcaneDoor, para ganar el acceso inicial.
Cisco rastrea esta actividad bajo el identificador UAT4356 (Storm-1849). Análisis externos, como los de la plataforma Censys en 2024, apuntan a una posible conexión con operadores vinculados a China, aunque la atribución oficial permanece abierta. En ArcaneDoor, los actores de amenaza ya habían mostrado capacidad para desplegar malware especializado destinado a interceptar tráfico, realizar reconocimiento encubierto y manipular la infraestructura de las víctimas.
LINE VIPER: kit de postexplotación para control total del firewall
Una vez explotadas las vulnerabilidades, los atacantes desplegaron en el Cisco Firepower comprometido el kit de postexplotación LINE VIPER. Este conjunto de herramientas proporciona a los intrusos una amplia gama de capacidades:
— ejecución remota de comandos CLI,
— captura de tráfico de red (packet capture),
— evasión de los mecanismos de autenticación, autorización y contabilización VPN (AAA) para sus propios dispositivos,
— supresión de mensajes críticos de syslog,
— interceptación de comandos introducidos por administradores,
— programación de reinicios diferidos del dispositivo.
Este nivel de control se utilizó como canal para la instalación posterior de la backdoor FIRESTARTER, que, de acuerdo con los datos de la investigación, ya estaba activa en el dispositivo a finales de septiembre de 2025 y se empleó para mantener acceso persistente durante un periodo prolongado.
FIRESTARTER: implante Linux ELF persistente en Cisco ASA y FTD
FIRESTARTER es un binario Linux ELF diseñado para lograr persistencia a largo plazo en dispositivos Cisco ASA y FTD. Su funcionamiento resulta especialmente preocupante para la seguridad perimetral:
— sobrevive a los reinicios estándar y a las actualizaciones de firmware,
— se integra en la secuencia de arranque modificando el proceso de montaje al inicio,
— se reactiva automáticamente en cada reinicio normal del dispositivo.
La eliminación efectiva del implante requiere un apagado físico completo (cold restart); comandos habituales como shutdown, reload o reboot no son suficientes. Esta estrategia de persistencia recuerda en parte al bootkit RayInitiator, lo que sugiere la reutilización de conceptos y bases de código entre familias de malware orientadas a firmware y dispositivos de red.
Hook en LINA y activación mediante WebVPN: ejecución de código arbitrario
Un componente clave de la amenaza FIRESTARTER es la inserción de un hook malicioso en LINA, el motor principal de software de Cisco ASA responsable del procesamiento de tráfico y funciones de seguridad. Este hook permite desviar la ejecución normal del código para inyectar instrucciones controladas por el operador APT.
De acuerdo con CISA y Cisco, este mecanismo posibilita la ejecución de shellcode arbitrario, incluyendo la recarga de herramientas como LINE VIPER. La backdoor se activa mediante peticiones especiales de autenticación WebVPN que contienen un “paquete mágico”; al procesarlas, el proceso LINA invoca el código malicioso. Un aspecto crítico es que, incluso tras aplicar los parches para CVE-2025-20333 y CVE-2025-20362, los dispositivos que ya hospedan FIRESTARTER permanecen comprometidos, ya que la actualización de firmware no elimina el implante persistente.
Recomendaciones de Cisco: reimage, cold restart y revisión profunda de configuración
Cisco recomienda que, ante cualquier indicio de compromiso, se proceda a reinstalar completamente la imagen del dispositivo (reimage) y actualizar a la última versión estable. Además, la configuración debe considerarse potencialmente no confiable, lo que implica revisar minuciosamente reglas, objetos, credenciales y parámetros, restaurándolos solo desde copias de seguridad verificadas.
Como medida temporal, el fabricante aconseja realizar un apagado físico (cold restart) para eliminar la instancia activa de FIRESTARTER de la memoria. Es importante subrayar que ningún comando de CLI sustituye al corte físico de alimentación; es necesario desconectar el cable de corriente y volver a conectarlo para forzar un arranque limpio.
Botnets de routers SOHO e IoT: la otra cara de las operaciones APT chinas
La divulgación técnica de FIRESTARTER coincide con una advertencia conjunta de Estados Unidos, Reino Unido y otros socios internacionales sobre extensas redes de routers SOHO e IoT comprometidos, presuntamente explotadas por grupos vinculados a China para camuflar operaciones de ciberespionaje. Entre los actores señalados destacan Volt Typhoon y Flax Typhoon, que construyen botnets con routers domésticos, cámaras de videovigilancia, grabadores y otros dispositivos IoT poco protegidos.
Estas infraestructuras se emplean como redes de proxy de bajo coste y bajo riesgo para ataques contra infraestructuras críticas y operaciones de reconocimiento. El tráfico de mando y control suele encadenarse a través de múltiples routers comprometidos, eligiendo nodos de salida en la misma región geográfica que la víctima, lo que complica la detección mediante análisis de IP y geolocalización.
Un reto añadido es que varias APT pueden reutilizar simultáneamente la misma infraestructura de botnet, de modo que las listas estáticas de direcciones IP sospechosas pierden rápidamente eficacia como mecanismo principal de defensa. Esta situación refuerza la necesidad de controles de comportamiento, segmentación y monitorización continua, más allá de simples bloqueos por reputación.
Los incidentes relacionados con FIRESTARTER y las botnets de routers SOHO e IoT evidencian una tendencia clara: los grupos de ciberespionaje patrocinados por Estados están concentrando sus esfuerzos en dispositivos de borde de red, desde routers domésticos hasta firewalls corporativos y gubernamentales. Para mitigar estos riesgos, conviene mantener firmware actualizado en Cisco ASA/FTD y equipos SOHO, programar reinicios en frío de dispositivos sospechosos, supervisar sesiones VPN y eventos de syslog anómalos, aplicar segmentación interna y principios de Zero Trust, y seguir de cerca las guías de fabricantes y de equipos CERT nacionales. Invertir en auditorías periódicas de la infraestructura de red es hoy una de las medidas más efectivas para evitar que el perímetro de una organización se convierta en un eslabón débil dentro de campañas APT de largo alcance.
