Alerta: El Backdoor J-Magic Amenaza VPNs Empresariales
san Francisco, CA – ¡Atención, entusiastas de la tecnología! Un nuevo backdoor, bautizado como J-Magic, ha irrumpido en escena, infectando decenas de VPNs empresariales que utilizan JunoOS de Juniper networks.¿Su truco? Una técnica sigilosa que utiliza «paquetes mágicos» para evadir la detección. Según el informe de Black Lotus Lab de Lumin Technology,este intruso ya ha comprometido a 36 organizaciones de diversos sectores. ¡Esto no es un juego!
Modus Operandi de J-Magic
El modus operandi de J-Magic es digno de una película de espías: se centra en recibir paquetes mágicos, que viajan ocultos en el tráfico TCP normal. Una vez que detecta uno, el backdoor envía un desafío al dispositivo emisor, todo ello cifrado con una clave RSA pública. Solo el dispositivo con la clave privada correcta puede responder, lo que impide el acceso no autorizado. Este nivel de sofisticación es una reminiscencia de tácticas vistas en campañas anteriores, lo que nos indica que estamos ante una amenaza realmente seria.
J-Magic opera exclusivamente en memoria, lo que lo convierte en un verdadero fantasma informático, muy difícil de detectar. Este agente pasivo vigila el tráfico TCP en busca de cinco conjuntos específicos de datos. Estos son tan ambiguos que se mezclan con el tráfico normal, esquivando las defensas.Aquí están los cinco detonantes:
- Condición 1: Desplazamiento 0x02 en las opciones TCP: «1366»; opciones TCP mínimo 4 bytes; dirección IP del atacante en el campo «Número de secuencia»; puerto de destino 443.
- condición 2: Puerto fuente TCP: «36429»; dirección IP del atacante en el campo «Número de secuencia»; puerto de destino 443.
- Condición 3: Carga útil: «Z4vE»; dirección IP del atacante sigue a «Z4vE»: 0x04; puerto del atacante a desplazamiento 0x08.
- Condición 4: Desplazamiento 0x08 en TCP: «59020»; dirección IP del atacante a desplazamiento 0xA; puerto de destino 443.
- Condición 5: Desplazamiento 0x08 en TCP: «59022»; dirección IP del atacante a desplazamiento 0xA; puerto del atacante a desplazamiento 0x0E.
Si una de estas condiciones se cumple, ¡boom! J-Magic lanza un reverse shell, creando un proceso hijo que se disfraza como «[nfsiod 1]».Este proceso se conecta al atacante vía SSL, enviando un reto de cinco caracteres alfanuméricos cifrados con una clave RSA pública predefinida. Solo la respuesta correcta abre un shell con el prompt «>>». Es como tener una puerta trasera invisible en tu sistema 😲.
“Si bien este no es el primer malware con paquetes mágicos, ha habido pocas campañas en los últimos años,” comentaron los investigadores. “La combinación de atacar routers Junos OS que sirven como puerta de enlace VPN y desplegar un agente pasivo de solo memoria, hace que esta sea una interesante convergencia de técnicas que merece nuestra atención.”
Conexión con Campañas Anteriores
El informe revela que J-Magic es una variante de cd00r, un backdoor de prueba de concepto que se actualizó en 2014. La campaña de J-Magic estuvo activa desde mediados de 2023 hasta al menos mediados de 2024, afectando sectores como semiconductores, energía, manufactura y TI. Esta conexión con campañas anteriores, como Turla y SeaSpy, sugiere que estamos ante una amenaza más amplia y sofisticada. El uso de un desafío RSA, similar a las tácticas de Turla, hace que la explotación por parte de otros atacantes sea mucho más complicada.
Conclusión
La naturaleza sigilosa de J-Magic, sumada a su objetivo en VPNs Juniper, pone de manifiesto una vulnerabilidad en soluciones de seguridad ampliamente utilizadas. La investigación del Black Lotus Lab nos recuerda la necesidad de una vigilancia continua y del desarrollo de defensas más robustas contra técnicas de evasión tan sofisticadas. La ciberseguridad nunca ha sido tan crucial.
¡Mantente conectado a Tendencias Digitales para no perderte las últimas noticias del mundo de la tecnología y tendencias digitales!
