Hackers vinculados a China atacan firewalls de Cisco en una campaña global

Un grupo de hackers vinculado a China, conocido por los expertos en seguridad como Storm-1849 (también rastreado como UAT4356), ha estado comprometiendo activamente los cortafuegos de Cisco utilizados por gobiernos y grandes empresas en todo el mundo.

Según los expertos de Unit 42 de Palo Alto Networks, los hackers están “buscando y explotando una línea popular de firewalls de Cisco”, específicamente la línea Cisco Adaptive Security Appliance (ASA), que es vital para organismos gubernamentales, instituciones de defensa y grandes empresas en Estados Unidos, Europa y Asia.

Cabe destacar que los dispositivos Cisco ASA son objetivos de alto valor porque combinan varias funciones de seguridad, como el filtrado del tráfico de red, la comprobación de virus y la gestión de conexiones seguras ( VPN ), actuando como puerta de enlace a sistemas internos sensibles.

Aunque CISA y Cisco no han señalado oficialmente a actores chinos como responsables de la campaña de 2025, la firma de investigación de ciberseguridad Censys encontró previamente indicios convincentes que apuntaban a China en ataques relacionados de 2024.

Según los hallazgos de la Unidad 42 de Palo Alto Networks, compartidos con The Record, esta campaña se extendió durante todo octubre. En Estados Unidos, se observó actividad contra 12 direcciones IP vinculadas a agencias del gobierno federal y otras 11 pertenecientes a oficinas gubernamentales estatales o locales. Curiosamente, los investigadores notaron una pausa en la actividad entre el 1 y el 8 de octubre, lo que atribuyen probablemente a la Semana Dorada china.

Los investigadores de Unit 42 también señalaron que la amenaza se extiende mucho más allá de Estados Unidos. Direcciones de redes públicas en numerosos países también han sido blanco de ataques, entre ellos India, Nigeria, Japón, Noruega, Francia, Reino Unido, Países Bajos, España, Australia, Polonia, Austria, Emiratos Árabes Unidos, Azerbaiyán y Bután.

Investigaciones posteriores revelaron que Storm-1849 también se centró en instituciones financieras, organizaciones militares y contratistas de defensa estadounidenses. Pete Renals, director de Programas de Seguridad Nacional de la Unidad 42, afirmó que durante todo octubre, el grupo “persistió en atacar dispositivos gubernamentales vulnerables”.

Según los informes, los hackers están aprovechando dos vulnerabilidades conocidas en los dispositivos Cisco ASA, identificadas como CVE-2025-30333 (CVSS 9.9) y CVE-2025-20362 (CVSS 6.5). Este ataque combinado les permite obtener un control profundo y persistente sobre los dispositivos. La vulnerabilidad CVE-2025-30333 es un problema grave que permite a un atacante con credenciales VPN ejecutar su propio código en el dispositivo, mientras que la vulnerabilidad CVE-2025-20362 permite a un atacante remoto no autenticado eludir las comprobaciones de seguridad para acceder a áreas restringidas.

La Agencia de Ciberseguridad e Infraestructura de Seguridad de Estados Unidos (CISA) ya había emitido una directiva de emergencia hace un mes, ordenando a todas las agencias civiles federales que aplicaran rápidamente parches para solucionar estos dos problemas.

A pesar de las advertencias de seguridad, los ataques continuaron aparentemente sin cesar. Las investigaciones también revelan que los atacantes han encontrado formas de mantener el acceso incluso si el dispositivo se reinicia o recibe una actualización del sistema.

Varios expertos en seguridad han compartido sus puntos de vista sobre este descubrimiento con Hackread.com. James Maude , CTO de campo en BeyondTrust, enfatizó la necesidad de “mantener la calma y aplicar los parches” para las dos vulnerabilidades CVE de inmediato, según la directiva de la CISA.

También destacó que, debido a la capacidad de los atacantes para modificar la configuración y mantener el acceso, cualquier organización que sospeche que su sistema ha sido comprometido debe restablecer sus configuraciones de Cisco a los valores predeterminados de fábrica, cambiando todas las contraseñas, claves y certificados antes de volver a configurar el dispositivo.

Heath Renfrow , cofundador y director de seguridad de la información de Fenix24, recalcó que los continuos ataques confirman que “los dispositivos periféricos son ahora objetivos primarios, no infraestructura secundaria”.

Aconsejó a las organizaciones que verificaran que sus dispositivos ejecutan software compatible y advirtió que “solo con aplicar parches no basta; hay que asumir que la vulneración está comprometida y realizar una revisión completa de las credenciales y los registros”.