Selon Cisco Talos, une campagne active attribuée avec une confiance modérée à un APT à nexus chinois (UAT-9686) cible Cisco AsyncOS pour Secure Email Gateway (ESA) et Secure Email and Web Manager (SMA), permettant l’exécution de commandes système et l’implantation d’un backdoor persistant.

  • Les produits visés sont Cisco Secure Email Gateway (ESA) et Cisco Secure Email and Web Manager (SMA), qui centralise la gestion et le reporting de plusieurs ESA/WSA. L’activité est observée depuis au moins fin novembre 2025 et a été détectée par Cisco le 10 décembre. Les compromissions concernent des appliances avec des configurations non standard (cf. l’avis de Cisco).

  • L’acteur déploie un backdoor Python persistant (AquaShell), injecté dans un fichier d’un serveur web Python à l’emplacement /data/web/euq_webui/htdocs/index.py. AquaShell écoute passivement des requêtes HTTP POST non authentifiées, décode des charges (algorithme custom + Base64) et exécute des commandes au niveau système. Des outils additionnels sont utilisés: AquaTunnel (reverse SSH basé sur ReverseSSH), chisel (tunnel TCP/UDP sur HTTP), et AquaPurge (nettoyage de journaux).

  • Attribution et TTPs: Talos évalue avec une confiance modérée un lien avec des APT chinois, notant des recoupements de TTPs, d’infrastructures et de victimologie. L’usage d’outils comme AquaTunnel (aligné avec des groupes tels qu’APT41/UNC5174) et d’implants web sur-mesure comme AquaShell s’inscrit dans des pratiques APT chinoises sophistiquées. 🚨

  • Mesures et couverture: Cisco conseille de suivre les avis de sécurité associés; les IOCs (IPs, empreintes) fournis ont été bloqués à l’échelle du portefeuille Cisco et sont disponibles sur le GitHub de Talos. Les clients détectant des liens avec ces IOCs doivent ouvrir un ticket Cisco TAC.

  • IOCs (extraits):

    • AquaTunnel (SHA-256): 2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef
    • AquaPurge (SHA-256): 145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca
    • Chisel (SHA-256): 85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc
    • IPs: 172[.]233[.]67[.]176, 172[.]237[.]29[.]147, 38[.]54[.]56[.]95

  • TTPs observées (exemples):

    • Implant web Python persistant (AquaShell) inséré dans un fichier existant
    • Réception passive de commandes via HTTP POST non authentifié, décodage custom + Base64, exécution de commandes système
    • Tunneling/reverse proxy: AquaTunnel (ReverseSSH) et chisel pour pivoter depuis l’équipement en périphérie
    • Effacement de traces: AquaPurge pour purger sélectivement les logs

Article de type analyse technique/menace visant à documenter la campagne, ses outils, ses cibles, et à partager des IOCs.

🧠 TTPs et IOCs détectés

TTP

[‘Implant web Python persistant (AquaShell) inséré dans un fichier existant’, ‘Réception passive de commandes via HTTP POST non authentifié, décodage custom + Base64, exécution de commandes système’, ‘Tunneling/reverse proxy: AquaTunnel (ReverseSSH) et chisel pour pivoter depuis l’équipement en périphérie’, ‘Effacement de traces: AquaPurge pour purger sélectivement les logs’]

IOC

{‘hashes’: [‘2db8ad6e0f43e93cc557fbda0271a436f9f2a478b1607073d4ee3d20a87ae7ef’, ‘145424de9f7d5dd73b599328ada03aa6d6cdcee8d5fe0f7cb832297183dbe4ca’, ‘85a0b22bd17f7f87566bd335349ef89e24a5a19f899825b4d178ce6240f58bfc’], ‘ips’: [‘172.233.67.176’, ‘172.237.29.147’, ‘38.54.56.95’]}

🔗 Source originale : https://blog.talosintelligence.com/uat-9686/