UNC3886 serait parvenu à installer des backdoors dans de nombreux routeurs Juniper qui, bien que anciens, sont toujours massivement utilisés, notamment par des FAI.
Un groupe de cyberespionnage chinois, identifié par Mendiant, sous le nom UNC3886, a été repéré exploitant des failles dans les routeurs Juniper MX Series. Le groupe malveillant y aurait déployé des backdoor sur mesure. Ils ont contourné les protections d’intégrité des fichiers du système Junos OS afin de maintenir un accès persistant aux infrastructures ciblées.
Cette campagne, active depuis mi-2024, touche principalement des équipements obsolètes, ce qui souligne les risques liés aux matériels en fin de vie. Contrairement à leurs opérations habituelles sur les équipements en périphérie de réseau, les attaquants s’attaquent désormais aux infrastructures internes, notamment aux routeurs des fournisseurs d’accès Internet (FAI) et aux services d’authentification comme TACACS+.
Les malwares détectés sont des variantes avancées du backdoor TINYSHELL, démontrant une maîtrise approfondie de Junos OS. UNC3886 avait déjà développé des outils spécifiques pour VMware ESXi, Fortinet et Ivanti, et présente des similitudes avec le groupe APT41, un autre acteur étatique chinois.
Mandiant recommande aux entreprises de mettre à jour leurs équipements Juniper avec les derniers correctifs et d’utiliser l’outil de suppression de malwares JMRT pour vérifier l’intégrité de leurs systèmes.
