Grupo Velvet Ant utilizou falha crítica em switches Nexus para implantar malware customizado e manter acesso persistente em redes corporativas
Pesquisadores de segurança identificaram uma campanha sofisticada de espionagem cibernética na qual hackers ligados à China exploraram uma vulnerabilidade zero-day em dispositivos Cisco para obter controle total sobre equipamentos de rede e executar atividades de espionagem de longo prazo.
A falha, rastreada como CVE-2024-20399 e com pontuação CVSS de 6.0, afeta o software Cisco NX-OS utilizado nos switches da série Nexus, equipamentos amplamente empregados em data centers corporativos. Apesar da classificação de severidade média, especialistas alertam que a vulnerabilidade permite aos atacantes executar comandos arbitrários com privilégios de root no sistema operacional Linux subjacente.
A empresa de cibersegurança Sygnia descobriu a exploração da vulnerabilidade durante investigação forense relacionada ao grupo de ameaças denominado Velvet Ant, ator atribuído à China com histórico de campanhas de espionagem prolongadas. Segundo os pesquisadores, o grupo conseguiu manter múltiplos pontos de acesso no ambiente da vítima por até três anos.
A vulnerabilidade de injeção de comando permite que atacantes com credenciais administrativas válidas escapem da interface de linha de comando do NX-OS e executem comandos no sistema operacional Linux que opera nos bastidores dos switches Cisco. Essa capacidade de “jailbreak” foi explorada para implantar malware customizado anteriormente desconhecido, batizado de VELVETSHELL.
O VELVETSHELL é uma combinação de duas ferramentas open-source: Tiny SHell, um backdoor Unix, e 3proxy, utilitário de proxy. O malware permitiu aos atacantes conectar-se remotamente aos dispositivos Cisco Nexus comprometidos, fazer upload de arquivos adicionais e executar código malicioso nos equipamentos.
Amnon Kushnir, gerente de pesquisa de resposta a incidentes da Sygnia, explicou que os switches Cisco Nexus são prevalentes em ambientes corporativos, especialmente em data centers, mas raramente recebem monitoramento adequado. “Dispositivos de rede como switches frequentemente não estão suficientemente protegidos, e organizações costumam falhar em tomar outras medidas de proteção”, alertou.
A Sygnia observou que o grupo Velvet Ant demonstrou alto nível de sofisticação ao realizar a transição de sistemas Windows para dispositivos de rede internos na tentativa de evitar detecção. “A transição para operar a partir de dispositivos de rede internos marca mais uma escalada nas técnicas de evasão utilizadas para garantir a continuação da campanha de espionagem”, afirmou a empresa.
Dispositivos afetados e correções
A vulnerabilidade afeta diversos modelos de switches Cisco, incluindo as séries MDS 9000, Nexus 3000, 5500, 5600, 6000, 7000 e 9000 operando em modo NX-OS standalone. A Cisco lançou atualizações de software que corrigem a falha nos dispositivos afetados e recomenda aplicação imediata dos patches.
Embora a exploração da vulnerabilidade exija credenciais administrativas válidas, o que limita o vetor de ataque inicial, os pesquisadores enfatizam que uma vez comprometido, o dispositivo pode servir como ponto de apoio persistente para atividades maliciosas, incluindo exfiltração de dados e movimentação lateral na rede.
A exploração não é um caso isolado. Equipamentos Cisco têm sido alvo recorrente de grupos de espionagem patrocinados por estados. Em abril de 2024, a campanha ArcaneDoor explorou outras vulnerabilidades zero-day em dispositivos Cisco para implantar backdoors customizados direcionados ao perímetro de redes governamentais em campanha global de ciberespionagem.
Mais recentemente, em dezembro de 2025, a Cisco alertou sobre outra vulnerabilidade crítica (CVE-2025-20393) sendo explorada por grupo chinês identificado como UAT-9686, desta vez afetando appliances de segurança de e-mail. A falha, com pontuação máxima CVSS de 10.0, permite execução remota de comandos com privilégios de root.
Recomendações de Segurança
A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) adicionou a CVE-2024-20399 ao catálogo de Vulnerabilidades Conhecidas Exploradas, determinando que agências federais apliquem as correções fornecidas pelo fabricante.
Especialistas recomendam que organizações implementem gerenciamento regular de patches, habilitem logs centralizados para dispositivos de rede, apliquem políticas rigorosas de senhas e mantenham monitoramento constante de equipamentos de perímetro. “Dispositivos de rede perimetral são o ponto de intrusão perfeito para campanhas focadas em espionagem”, alertou a Cisco Talos.
O caso reforça a importância crítica de manter dispositivos de infraestrutura de rede atualizados, adequadamente monitorados e protegidos, especialmente considerando que esses equipamentos tradicionalmente carecem de soluções de detecção e resposta a endpoints (EDR) comumente implementadas em estações de trabalho e servidores.
Fonte: Cybernews
