El Centro Nacional de Ciberseguridad (NCSC) del Reino Unido ha revelado que los actores de amenazas se han aprovechado de la fallos de seguridad revelados recientemente que afectan a los firewalls de Cisco como parte de los ataques de día cero para entregar familias de malware que antes no estaban documentadas, como Iniciador de rayos y VÍBORA DE LÍNEA .
«El malware RayInitiator y LINE VIPER representan una evolución significativa con respecto al utilizado en la campaña anterior, tanto en sofisticación como en su capacidad para evadir la detección», dijo la agencia dijo .
Cisco reveló el jueves que comenzó a investigar los ataques a varias agencias gubernamentales relacionados con la campaña patrocinada por el estado en mayo de 2025 dirigida a los dispositivos de la serie 5500-X de Adaptive Security Appliance (ASA) para implantar malware, ejecutar comandos y, potencialmente, filtrar datos de los dispositivos comprometidos.
Un análisis exhaustivo del firmware extraído de los dispositivos infectados que ejecutaban el software Cisco Secure Firewall ASA con los servicios web VPN habilitados condujo finalmente al descubrimiento de un error de corrupción de memoria en el software del producto, agregó.
«Se observó que los atacantes aprovecharon múltiples vulnerabilidades de día cero y emplearon técnicas avanzadas de evasión, como deshabilitar el registro, interceptar los comandos de la CLI y bloquear intencionalmente los dispositivos para evitar el análisis de diagnóstico», dijo la empresa dijo .
La actividad implica la explotación de CVE-2025-20362 (puntuación CVSS: 6,5) y CVE-2025-20333 (puntuación CVSS: 9,9) para eludir la autenticación y ejecutar código malintencionado en dispositivos vulnerables. Se considera que la campaña está vinculada a un grupo de amenazas denominado Puerta arcana , que se atribuyó a un grupo de hackers presuntamente vinculado a China conocido como UAT4356 (también conocido como Storm-1849).
Además, en algunos casos, se dice que el actor de la amenaza tiene modificado ROMMON (abreviatura de Monitor de memoria de solo lectura ), que es responsable de administrar el proceso de arranque y realizar pruebas de diagnóstico en los dispositivos ASA, para facilitar la persistencia durante los reinicios y las actualizaciones de software. Dicho esto, estas modificaciones solo se han detectado en las plataformas Cisco ASA de la serie 5500-X que carecen de las tecnologías Secure Boot y Trust Anchor.
Cisco también dijo que la campaña ha comprometido con éxito los modelos ASA de la serie 5500-X que ejecutan las versiones 9.12 o 9.14 del software Cisco ASA con los servicios web VPN habilitados y que no admiten las tecnologías Secure Boot y Trust Anchor. Todos los dispositivos afectados han llegado al final del soporte (eOS) o están a punto de alcanzar el estado de eOS la semana que viene -
- 5512-X y 5515-X: última fecha de soporte: 31 de agosto de 2022
- 5585-X — Última fecha de soporte: 31 de mayo de 2023
- 5525-X, 5545-X y 5555-X: última fecha de soporte: 30 de septiembre de 2025
Además, la empresa señaló que ha solucionado una tercera falla crítica (CVE-2025-20363, puntuación CVSS: 8,5/9,0) en los servicios web del software Adaptive Security Appliance (ASA), el software Secure Firewall Threat Defense (FTD), el software IOS, el software IOS XE y el software IOS XR, que podría permitir a un atacante remoto ejecutar código arbitrario en un dispositivo afectado.
«Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un servicio web objetivo en un dispositivo afectado después de obtener información adicional sobre el sistema, superar las mitigaciones de exploits o ambas cosas», dijo . «Un exploit exitoso podría permitir al atacante ejecutar código arbitrario como usuario root, lo que podría poner en peligro por completo el dispositivo afectado».
A diferencia de CVE-2025-20362 y CVE-2025-20333, no hay pruebas de que la vulnerabilidad se haya explotado de forma natural en un contexto malintencionado. Cisco afirmó que el Cisco Advanced Security Initiatives Group (ASIG) descubrió la deficiencia durante la resolución de un caso de soporte del TAC de Cisco.
El Centro Canadiense de Ciberseguridad ha instó las organizaciones del país deben tomar medidas lo antes posible para contrarrestar la amenaza mediante la actualización a una versión fija de los productos Cisco ASA y FTD.
El NCSC del Reino Unido, en un aviso publicado el 25 de septiembre, reveló que los ataques habían aprovechado un kit de arranque de varias etapas llamado RayInitiator para implementar un cargador de códigos de shell en modo usuario conocido como LINE VIPER en el dispositivo ASA.
RayInitiator es un kit de arranque persistente de GRaD Unified Bootloader (GRUB) que se muestra en los dispositivos de las víctimas y, al mismo tiempo, es capaz de sobrevivir a los reinicios y actualizaciones del firmware. Se encarga de cargar en la memoria LINE VIPER, que puede ejecutar los comandos de la CLI, capturar paquetes, eludir la autenticación, la autorización y la contabilidad (AAA) de los dispositivos actores, suprimir los mensajes del syslog, recopilar los comandos de la CLI de los usuarios y forzar un reinicio retrasado.
El bootkit logra esto instalando un controlador dentro de un binario ASA legítimo llamado «lina» para ejecutar LINE VIPER. Lina, abreviatura de Integrated Network Architecture basada en Linux, es el software del sistema operativo que integra las principales funcionalidades de firewall del ASA.
Descrito como «más completo» que Bailarín de línea , LINE VIPER utiliza dos métodos para comunicarse con el servidor de comando y control (C2): sesiones de autenticación de clientes de WebVPN a través de HTTPS o mediante ICMP con respuestas a través de TCP sin procesar. También está diseñado para realizar una serie de modificaciones en «lina» a fin de evitar dejar rastros forenses y evitar que se detecten modificaciones en los comandos de la CLI, como copiar y verificar.
«El despliegue de LINE VIPER mediante un kit de arranque persistente, combinado con un mayor énfasis en las técnicas de evasión de la defensa, demuestra un aumento en la sofisticación de los actores y una mejora en la seguridad operativa en comparación con la campaña de ArcaneDoor documentada públicamente en 2024», afirma el NCSC.