O grupo de ciberespionagem UNC3886, vinculado à China, foi identificado explorando roteadores MX obsoletos da Juniper Networks para instalar backdoors e rootkits personalizados. O ataque, descoberto pela empresa Mandiant, destaca a capacidade do grupo de comprometer infraestruturas internas críticas, escapando de detecções convencionais. Os hackers exploraram vulnerabilidades para desativar logs de segurança e estabelecer acesso remoto persistente aos dispositivos.

Segundo a Mandiant, as técnicas utilizadas refletem um avanço na sofisticação do grupo, que já foi responsável por ataques envolvendo falhas em dispositivos Fortinet, Ivanti e VMware. O ataque se concentra em setores estratégicos nos Estados Unidos e na Ásia, incluindo defesa, tecnologia e telecomunicações. Dispositivos de borda são frequentemente alvos porque não possuem monitoramento de segurança robusto, permitindo que os invasores operem sem serem detectados.

Entre as principais ferramentas usadas pelos hackers está o TinyShell, um backdoor leve amplamente utilizado por grupos chineses, como Liminal Panda e Velvet Ant. Seis variantes do malware foram identificadas, cada uma com funções específicas, como interceptação de tráfego, controle remoto e ofuscação de atividades maliciosas. A Juniper Networks lançou uma atualização de segurança para corrigir o problema e recomenda que empresas atualizem imediatamente seus dispositivos para mitigar riscos de comprometimento.