CyberScoop (20 août 2025) relaie de nouvelles découvertes de Cisco Talos attribuant au groupe russe « Static Tundra », lié au Centre 16 du FSB et considéré comme un sous-cluster d’« Energetic Bear », une campagne de compromission d’équipements réseau d’une grande persistance.
Les chercheurs décrivent l’exploitation continue de CVE-2018-0171 touchant la fonctionnalité Smart Install de Cisco IOS. Bien que corrigée depuis 2018, la faille reste efficace contre des parcs non patchés ou en fin de vie. Elle permet l’exécution de code arbitraire ou des déni de service. Le groupe aurait industrialisé l’attaque via des outils automatisés et la sélection de cibles par des données de scan publiques (Shodan, Censys).
Après l’accès initial, Static Tundra extrait les configurations d’équipements, souvent riches en identifiants et informations réseau utiles pour la suite des compromissions. Il s’appuie sur des serveurs TFTP et des outils SNMP pour maintenir l’accès et collecter du renseignement.
La campagne d’espionnage touche les secteurs des télécommunications, de l’enseignement supérieur et de la fabrication en Amérique du Nord, Asie, Afrique et Europe. Les cibles semblent s’aligner avec les intérêts stratégiques russes, avec une intensification marquée en Ukraine depuis le début de la guerre, et une extension à plusieurs verticaux dans le pays.
TTPs observés:
- Exploitation de CVE-2018-0171 (Cisco IOS Smart Install) à grande échelle
- Repérage via Shodan/Censys et outillage automatisé
- Exfiltration de configurations, récolte d’identifiants et d’info réseau
- Usage de TFTP et SNMP pour persistance et collecte IOCs: non communiqués dans l’article. 🧭 Type: article de presse spécialisé synthétisant une publication de recherche, visant à exposer une campagne d’espionnage persistante et ses techniques.
🔗 Source originale : https://cyberscoop.com/russian-static-tundra-hacks-cisco-network-devices-cve-2018-0171/