Ti sei mai chiesto cosa succede quando gli aggressori si infiltrano silenziosamente nei sistemi di sicurezza delle aziende senza essere rilevati per settimane? Scopri come Cisco ha reagito a tale infiltrazione pubblicando un aggiornamento critico per proteggere i suoi clienti dagli hacker legati alla Cina.
Le 3 informazioni da non perdere
Gli analisti di Cisco Talos hanno rilevato anomalie su alcuni dispositivi dei clienti, rivelando connessioni amministrative sconosciute. Questi accessi non autorizzati sono stati facilitati da un difetto software identificato con il numero CVE-2025-20393.
Gli aggressori sono riusciti a infiltrarsi nei sistemi senza fornire credenziali valide, installando accessi persistenti. Hanno creato account, modificato file di sistema e integrato script capaci di sopravvivere ai riavvii. Questa infiltrazione mirava a stabilire una presenza stabile piuttosto che un’intrusione temporanea.
Cisco ha reagito rapidamente pubblicando un aggiornamento di sicurezza per interrompere l’accesso agli hacker. Tuttavia, la correzione della falla non cancellava gli accessi già creati. Le aziende hanno quindi dovuto verificare le loro configurazioni e ispezionare i registri di attività.
I team informatici hanno spesso scoperto account o attività pianificate senza origine chiara, richiedendo talvolta una reinstallazione completa dei sistemi per ripristinare un ambiente sano.
I dispositivi di messaggistica, essenziali nella quotidianità delle aziende, hanno dovuto essere temporaneamente fermati per manutenzione. Ciò ha richiesto un coordinamento accurato per minimizzare l’impatto sugli utenti.
Questa situazione ha messo in luce una debolezza organizzativa: la sorveglianza insufficiente dei dispositivi intermedi, spesso trascurati quando funzionano senza incidenti apparenti.
Le operazioni di hacking sono state attribuite al gruppo UAT-9686, noto per i suoi metodi di accesso discreto e prolungato, già osservati in altre campagne legate alla Cina. Cisco ha basato questa attribuzione su elementi tecnici come i metodi utilizzati, gli orari di attività e alcune infrastrutture.
Questo gruppo si è distinto per la sua capacità di sfruttare vulnerabilità software per accedere senza autorizzazione ai sistemi target, sottolineando l’importanza per le aziende di mantenere una vigilanza costante e di aggiornare regolarmente i loro sistemi di sicurezza.