Agencias de ciberseguridad en EE. UU. y el Reino Unido advierten sobre un malware personalizado llamado Firestarter que persiste en dispositivos **Cisco** Firepower y Secure Firewall que ejecutan software Adaptive Security Appliance (ASA) o Firepower Threat Defense (FTD). ### Conexión con ArcaneDoor La backdoor ha sido atribuida a un actor de amenazas que **Cisco Talos** rastrea internamente como **UAT-4356**, conocido por campañas de ciberespionaje, incluyendo **ArcaneDoor**. ### Explotación de Vulnerabilidades para Acceso Inicial La Agencia de Ciberseguridad e Infraestructura de EE. UU. (**CISA**) y el Centro Nacional de Ciberseguridad del Reino Unido (**NCSC**) creen que el adversario obtuvo acceso inicial explotando un problema de autorización faltante (**CVE-2025-20333**) y/o un error de desbordamiento de búfer (**CVE-2025-20362**). ### Despliegue de Line Viper y Firestarter En un incidente en una agencia del poder ejecutivo civil federal, **CISA** observó que el actor de amenazas desplegó primero el malware **Line Viper**, un cargador de shellcode en modo de usuario, y luego utilizó **Firestarter**, que permite el acceso continuo incluso después de aplicar parches. “**CISA** no ha confirmado la fecha exacta de la explotación inicial, pero estima que el compromiso ocurrió a principios de septiembre de 2025, y antes de que la agencia implementara parches de acuerdo con la ED 25-03”, señala la agencia en una alerta. **Line Viper** se utiliza para establecer sesiones VPN y acceder a todos los detalles de configuración, incluidas las credenciales administrativas, certificados y claves privadas en los dispositivos Firepower comprometidos. A continuación, se despliega el binario ELF para la backdoor **Firestarter** para la persistencia, lo que permite al actor de amenazas recuperar el acceso cuando sea necesario. ### Mecanismos de Persistencia Una vez que **Firestarter** se anida en los dispositivos, mantiene la persistencia a través de reinicios, actualizaciones de firmware y parches de seguridad. Además, la backdoor se reinicia automáticamente si se termina. La persistencia se logra enganchándose a LINA, el proceso central de **Cisco ASA**, y utilizando manejadores de señales que activan rutinas de reinstalación. Un informe conjunto de análisis de malware de las dos agencias de ciberseguridad explica que **Firestarter** modifica el archivo de arranque/montaje CSP_MOUNT_LIST para asegurar la ejecución al inicio, almacena una copia de sí mismo en /opt/cisco/platform/logs/var/log/svc_samcore.log, y la restaura a /usr/bin/lina_cs, donde se ejecuta en segundo plano. **Cisco Talos** también publicó su análisis del malware, indicando que el mecanismo de persistencia se activa cuando se recibe una señal de terminación de proceso, también conocida como reinicio controlado. Los investigadores señalaron en el informe de Firestarter que la backdoor utilizó los siguientes comandos para establecer su persistencia:  ### Funcionalidad de la Backdoor La función principal del implante es actuar como una backdoor para acceso remoto, mientras que también puede ejecutar shellcode proporcionado por el atacante. Esto se realiza a través de un mecanismo en el que **Firestarter** se engancha a LINA modificando un manejador XML e inyectando shellcode en memoria, creando una ruta de ejecución controlada. Este shellcode se activa mediante una solicitud WebVPN especialmente elaborada que, tras validar un identificador codificado, carga y ejecuta payloads proporcionados por el atacante directamente en memoria. Sin embargo, **CISA** no proporcionó detalles sobre los payloads específicos observados en los ataques. ### Recomendaciones de Cisco **Cisco** publicó un aviso de seguridad sobre **Firestarter** que contiene mitigaciones y soluciones alternativas para eliminar el mecanismo de persistencia, así como indicadores de compromiso para descubrir el implante **Firestarter**. El proveedor “recomienda encarecidamente la reimaginación y actualización del dispositivo utilizando las versiones corregidas”, lo que cubre tanto los casos comprometidos como los no comprometidos. Para determinar un compromiso, los administradores deben ejecutar el comando ‘show kernel process | include lina_cs’. Cualquier resultado obtenido indica que el dispositivo debe considerarse comprometido. Si la reimaginación del dispositivo no es posible actualmente, **Cisco** indica que un reinicio en frío (desconectando la alimentación del dispositivo) elimina el malware. Sin embargo, esta alternativa no se recomienda ya que conlleva el riesgo de corrupción de la base de datos o del disco, lo que podría provocar problemas de arranque. **CISA** también ha compartido dos reglas YARA que pueden detectar la backdoor **Firestarter** cuando se aplican a una imagen de disco o a un volcado de memoria de un dispositivo.