UAT-4356として追跡されている国家支援の脅威アクターは、Cisco Firepower デバイスの既知の脆弱性を積極的に悪用して、不正アクセスを実現し、洗練されたカスタムバックドアを展開しています。
このキャンペーンは、Ciscoの Firepower eXtensible Operating System(FXOS)に影響を与える2つのN-Day脆弱性、CVE-2025-20333とCVE-2025-20362を活用しています。
ゼロデイ攻撃とは異なり、これらのエクスプロイトは既に公開され、パッチが当たった欠陥に依存しています。しかし、更新プログラムを適用しなかった組織は脆弱なままであり、攻撃者は高度なエクスプロイト開発なしにシステムを侵害することができます。
UAT-4356は以前、2024年初期に世界中の周辺ネットワークデバイスを標的にしたArcaneDoor諜報活動キャンペーンにリンクされており、重要なインフラストラクチャへの継続的な焦点が強調されています。
悪用が成功した後、攻撃者は2026年4月23日に発表されたCisco Talosアドバイザリーに詳細が記載されている、FIRESTARTERという名前のカスタムビルトのインプラントを展開します。
マルウェアは、Cisco ASAおよびFirepower Threat Defense(FTD)アプライアンスのコアコンポーネントであるLINAプロセスに直接悪質なシェルコードを注入することによって動作します。
これにより、攻撃者は侵害されたデバイス上で任意のコマンドを実行することができます。
FIRESTARTERは、メモリ内の正当なWebVPN XMLハンドラーを悪質なステージ2シェルコードハンドラーに置き換えます。
特定の「マジックバイト」を含む特別に細工されたWebVPNリクエストが受け取られると、バックドアが起動し、サイレントで実行されます。
通常のトラフィックは正当なハンドラーに転送され、マルウェアが通常の運用中に検出されないままになることができます。
研究者は、FIRESTARTERとRayInitiatorのステージ3シェルコード間に強い類似性を指摘し、高度な脅威アクター間での共有ツーリングまたは協力の可能性を示唆しています。
マルウェアは、システムブート中に実行されるプロセスを制御するCiscoのCSP_MOUNT_LIST設定を変更することで、巧妙な永続性技術を使用しています。
正常なリブート中に、FIRESTARTERは自分自身を/opt/cisco/platform/logs/var/log/svc_samcore.logにコピーし、/usr/bin/lina_cs経由で再起動します。しかし、インプラントはハードパワーリブートでは生き残りませんので、物理的な再起動は一時的な緩和ステップになります。
このアプローチにより、攻撃者は検出を最小化しながらリブート全体でアクセスを維持することができます。
管理者は、以下の指標について影響を受けたデバイスを監視することが推奨されます:
侵害されたシステムを持つ組織は、完全な改善のために影響を受けたデバイスを再イメージする必要があります。
非ロックダウンFTDシステムの場合、管理者はlina_csプロセスを終了し、デバイスを再ロードすることで緩和ステップとすることができます。
さらに、CISAの緊急指令ED 25-03は、連邦および企業環境に対する追加のガイダンスを提供しています。
このキャンペーンは、脅威アクターが既知の脆弱性を利用して永続的かつ隠密なアクセスを実現する傾向が高まっている、パッチが当たっていないシステムによってもたらされている継続的なリスクを強調しています。
