Μια ενεργή καμπάνια που εκμεταλλεύεται μια ευπάθεια zero-day στο Λογισμικό Cisco AsyncOS, που στοχεύει το Secure Email Gateway (πρώην Email Security Appliance, ESA) και το Secure Email and Web Manager (πρώην Content Security Management Appliance, SMA).
Η επίθεση, που εντοπίστηκε από τα τέλη Νοεμβρίου του 2025 και αποκαλύφθηκε δημοσίως στις 10 Δεκεμβρίου, επιτρέπει στους εισβολείς να εκτελούν εντολές σε επίπεδο συστήματος και να φυτεύουν μια επίμονη κερκόπορτα Python με την ονομασία “AquaShell”.
Ο Talos αποδίδει την επιχείρηση με μέτρια εμπιστοσύνη στον UAT-9686, έναν κινεζικό-nexus προηγμένης επίμονης απειλής (APT). Οι επικαλύψεις σε τακτικές, τεχνικές, διαδικασίες (TTP), εργαλεία και υποδομές συνδέουν το UAT-9686 με ομάδες όπως το APT41 και το UNC5174.
Συγκεκριμένα, το προσαρμοσμένο εμφύτευμα ιστού AquaShell αντικατοπτρίζει τεχνικές που υιοθετούνται από εξελιγμένα κινεζικά APT για μυστική επιμονή.
Το διάνυσμα εισβολής χτυπά συσκευές με μη τυπικές διαμορφώσεις, όπως περιγράφεται αναλυτικά στο Η συμβουλή της Cisco. Οι εισβολείς ενσωματώνουν το AquaShell στο “/data/web/euq_webui/htdocs/index.py” μέσω ενός κωδικοποιημένου blob. Αυτή η ελαφριά κερκόπορτα παρακολουθεί παθητικά για αιτήματα HTTP POST χωρίς έλεγχο ταυτότητας, αποκωδικοποιεί ωφέλιμα φορτία με έναν προσαρμοσμένο αλγόριθμο συν Base64 και εκτελεί εντολές φλοιού.
Ο συμβιβασμός κλιμακώνεται με συμπληρωματικά εργαλεία: Το AquaTunnel, ένα δυαδικό σύστημα GoLang ELF που έχει διαμορφωθεί από ανοιχτού κώδικα ReverseSSH, δημιουργεί αντίστροφες σήραγγες SSH για απομακρυσμένη πρόσβαση πέρα από τείχη προστασίας. Το Chisel, ένα tunneler ανοιχτού κώδικα, διαμεσολαβεί την κυκλοφορία TCP/UDP μέσω HTTP για εσωτερική περιστροφή. και το AquaPurge, το οποίο καθαρίζει τα κούτσουρα φιλτράροντας γραμμές με λέξεις-κλειδιά μέσω του egrep.
Το Secure Email and Web Manager συγκεντρώνει την επίβλεψη του ESA και του Web Security Appliance (WSA), συμπεριλαμβανομένης της καραντίνας, των πολιτικών και των αναφορών, καθιστώντας το πρωταρχικό στόχο για διακοπές της πύλης ηλεκτρονικού ταχυδρομείου.
Η Cisco προτρέπει τους πελάτες να αναθεωρήσουν το συμβουλευτικός για δείκτες συμβιβασμού (IOC) και αποκατάστασης.
| Εργαλείο/Στοιχείο | Τύπος | Αξία | Περιγραφή |
|---|---|---|---|
| AquaTunnel | SHA256 Κατακερματισμός | 2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef | GoLang ELF αντίστροφη σήραγγα SSH για απομακρυσμένη πρόσβαση. |
| AquaPurge | SHA256 Κατακερματισμός | 145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca | Βοηθητικό πρόγραμμα εκκαθάρισης αρχείων καταγραφής χρησιμοποιώντας το egrep για την αφαίρεση λέξεων-κλειδιών. |
| Σμίλη | SHA256 Κατακερματισμός | 85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc | Εργαλείο δημιουργίας σήραγγας ανοιχτού κώδικα για διακομιστή μεσολάβησης TCP/UDP μέσω HTTP. |
| IP του εισβολέα | Διεύθυνση IP | 172.233.67[.]176 | Υποδομή διοίκησης και ελέγχου. |
| IP του εισβολέα | Διεύθυνση IP | 172.237.29[.]147 | Υποδομή διοίκησης και ελέγχου. |
| IP του εισβολέα | Διεύθυνση IP | 38.54.56[.]95 | Υποδομή διοίκησης και ελέγχου. |
Αυτή η καμπάνια υπογραμμίζει την αυξανόμενη εστίαση του APT στα άκρα της ασφάλειας email εν μέσω κινδύνων στην αλυσίδα εφοδιασμού.
