Las agencias de ciberseguridad de Estados Unidos y el Reino Unido han emitido una alerta urgente tras el descubrimiento de un nuevo malware de tipo 'backdoor' (puerta trasera), bautizado como Firestarter, detectado en la red de una agencia federal estadounidense.
Según informes de theregister.com, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU. y el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido identificaron que el malware tiene como objetivo los productos Cisco Secure Firewall Adaptive Security Appliance (ASA) y Threat Defense (FTD).
Aunque no se ha revelado el nombre de la agencia federal afectada, la brecha de seguridad ocurrió dentro de la Rama Ejecutiva Civil Federal (FCEB, por sus siglas en inglés). Este grupo incluye entidades de gran relevancia como la NASA, el FBI, el Departamento de Justicia y el IRS.
Firestarter otorga a los atacantes capacidades de acceso remoto y muestra un alto nivel de sofisticación. CISA señaló que el malware logra mantener un acceso persistente en los dispositivos de red comprometidos, incluso después de realizar actualizaciones de software, lo que permite a los atacantes reingresar a las redes sin necesidad de explotar nuevas vulnerabilidades.
Infraestructura bajo ataque
La investigación de la CISA confirmó que una sola agencia de la FCEB fue impactada, aunque las autoridades sospechan que el malware forma parte de una campaña más amplia dirigida contra el gobierno y la infraestructura nacional crítica. El incidente detectado involucró específicamente un dispositivo Cisco Firepower que ejecutaba el software ASA.
Investigadores de seguridad de Switchzilla han identificado al actor de la amenaza como UAT-4ക356. Si bien el grupo parece contar con el respaldo de algún gobierno, el medio informó que Switchzilla se ha negado a atribuir los ataques a ninguna nación específica, incluyendo a China, Rusia, Irán o Corea del Norte.
Este hallazgo se suma a las advertencias previas sobre ataques a productos Cisco que explotan las vulnerabilidades CVE-2025-20333 y CVE-2025-20362. Los últimos descubrimientos sirven como una actualización de los avisos emitidos anteriormente por la CISA sobre exploits similares centrados en Cisco.
La CISA y el NCSC instan a todas las organizaciones a implementar medidas preventivas. Las agencias recomiendan el uso de reglas YARA para realizar análisis de memoria en volcados de memoria (core dumps) o imágenes de disco de los dispositivos.
Asimismo, ambas agencias solicitan a cualquier organización que detecte actividad similar que recopile todas las evidencias y las envíe para fines de recopilación de inteligencia.
Esta advertencia llega poco después de una alerta colectiva emitida por diez países, incluidos los miembros de la alianza 'Five Eyes', sobre operaciones cibernéticas ofensivas de China. Dicha alerta afirmaba que China está construyendo redes encubiertas utilizando routers SOHO de consumo masivo para lanzar ataques contra sus adversarios.
