O grupo de espionagem cibernética UNC3886, associado à China, tem explorado roteadores MX descontinuados da Juniper Networks, utilizando backdoors e rootkits personalizados para manter acesso discreto e prolongado a redes estratégicas.
Segundo a Mandiant, os invasores desenvolveram técnicas para desativar logs de atividade nos dispositivos comprometidos, tornando a detecção mais difícil. A empresa aponta essa campanha como uma evolução da atuação do grupo, que anteriormente explorava vulnerabilidades zero-day em produtos da Fortinet, Ivanti e VMware.
Documentado pela primeira vez em setembro de 2022, o UNC3886 tem como alvos principais infraestruturas militares, tecnológicas e de telecomunicações nos EUA e na Ásia. O grupo se aproveita da falta de monitoramento em dispositivos de borda para operar sem ser notado, aumentando o risco de ataques mais destrutivos no futuro.
Uso de Backdoors TinyShell
A Mandiant identificou que, desde meados de 2024, o UNC3886 tem utilizado variações do TinyShell, um backdoor modular leve amplamente usado por hackers chineses. A análise revelou seis variantes, cada uma com funcionalidades específicas, como upload e download de arquivos, shell remoto, captura de tráfego ICMP, injeção de código e manipulação de logs.
Além disso, os hackers conseguiram burlar o Verified Exec (veriexec) do Junos OS, mecanismo de proteção contra execução de código não autorizado. Para isso, usaram credenciais legítimas, injetaram código na memória do processo cat e ativaram o backdoor lmpad.
Uso de Rootkits e Ferramentas Avançadas
O grupo também implantou rootkits Reptile e Medusa, além de ferramentas como PITHOOK, usada para capturar credenciais SSH, e GHOSTTOWN, projetada para evitar detecção.
A Mandiant recomenda que as organizações atualizem seus dispositivos Juniper para versões mais recentes e implementem a ferramenta Juniper Malware Removal Tool (JMRT) para identificar e remover ameaças.
Recentemente, o Lumen Black Lotus Labs revelou outra campanha de ataque contra roteadores empresariais da Juniper Networks, chamada J-Magic, que distribuiu uma variante do malware cd00r.
Em julho de 2024, a Juniper lançou o projeto RedPenguin para investigar essas infecções. Durante a análise, foi descoberta a vulnerabilidade CVE-2025-21590 (CVSS 6.7), que permitia a execução remota de código em dispositivos protegidos pelo veriexec.A Juniper alertou que os hackers utilizam kits de acesso remoto (RATs) para manter controle persistente nos dispositivos Junos OS. Segundo a Mandiant, o UNC3886 demonstra conhecimento profundo dos sistemas internos, adotando táticas discretas para garantir acesso prolongado e evitar detecção.
