🔍 Contexte

Publié le 23 avril 2026 par Cisco Talos, cet article constitue une analyse technique détaillée d’une campagne active menée par le groupe UAT-4356, précédemment attribué à la campagne étatique ArcaneDoor (début 2024), ciblant les équipements réseau périmètriques à des fins d’espionnage.

🎯 Vecteur d’accès initial

UAT-4356 a exploité deux vulnérabilités n-day affectant le système d’exploitation Cisco FXOS (Firepower eXtensible Operating System) :

  • CVE-2025-20333
  • CVE-2025-20362

Ces vulnérabilités ont permis un accès non autorisé aux équipements Cisco Firepower, ASA et FTD.

🦠 Le backdoor FIRESTARTER

FIRESTARTER est un implant malveillant personnalisé qui s’injecte dans le processus LINA, composant central des appliances Cisco ASA et FTD sous FXOS. Ses capacités incluent :

  • Exécution de shellcode arbitraire reçu à distance
  • Remplacement d’un handler WebVPN légitime par un handler malveillant (Stage 2 shellcode)
  • Parsing de requêtes XML WebVPN à la recherche de marqueurs magiques précédant un payload exécutable
  • Chevauchement technique significatif avec le Stage 3 shellcode de RayInitiator

🔒 Mécanisme de persistance

La persistance est établie via la manipulation de CSP_MOUNT_LIST (Cisco Service Platform) :

  • Déclenchement lors d’un redémarrage gracieux (signal de terminaison de processus)
  • Écriture de l’implant dans /opt/cisco/platform/logs/var/log/svc_samcore.log
  • Copie vers /usr/bin/lina_cs et mise à jour de CSP_MOUNT_LIST
  • Après redémarrage, restauration du CSP_MOUNT_LIST original et suppression des traces
  • Un hard reboot (coupure d’alimentation) supprime l’implant

🔎 Détection

Indicateurs de présence de FIRESTARTER :

  • Fichier /usr/bin/lina_cs
  • Fichier /opt/cisco/platform/logs/var/log/svc_samcore.log
  • Commande : show kernel process | include lina_cs
  • Règles Snort : 65340, 46897 (CVE), 62949 (FIRESTARTER)
  • Signature ClamAV : Unix.Malware.Generic-10059965-0

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par Cisco Talos, accompagnée d’une advisory de sécurité officielle et de références CISA (Emergency Directive ED 25-03), visant à documenter les TTPs, les IOCs et les mécanismes de détection/remédiation associés à cette campagne active.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • UAT-4356 (state-sponsored) — Malpedia

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1055 — Process Injection (Defense Evasion)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1562 — Impair Defenses (Defense Evasion)

IOC

  • CVEs : CVE-2025-20333NVD · CIRCL
  • CVEs : CVE-2025-20362NVD · CIRCL
  • Fichiers : lina_cs
  • Fichiers : svc_samcore.log
  • Fichiers : CSP_MOUNTLIST.tmp
  • Chemins : /usr/bin/lina_cs
  • Chemins : /opt/cisco/platform/logs/var/log/svc_samcore.log

Malware / Outils

  • FIRESTARTER (backdoor)
  • RayInitiator (other)

🟢 Indice de vérification factuelle : 75/100 (haute)

  • ✅ blog.talosintelligence.com — source reconnue (liste interne) (20pts)
  • ✅ 7764 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 7 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : UAT-4356 (5pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://blog.talosintelligence.com/uat-4356-firestarter/?utm_source=substack&utm_medium=email