Un groupe malveillant chinois s’invite depuis au moins mi-2024 dans les routeurs Juniper

Déjà connu pour s’intéresser aux équipements de bordure Fortinet, le groupe UNC3886 s’est également invité dans ceux de Juniper animés par Junos OS.

C’est ce qu’indiquent les équipes Mandiant de Google, dans un billet de blog partageant leurs analyses sur des activités découvertes mi-2024. Dans celui-ci, elles relatent avoir « découvert de nombreuses portes dérobées basées sur TinyShell fonctionnant sur des routeurs Junos OS de Juniper ». 

Ces portes dérobées présentent des fonctionnalités à façon variées, y compris des scripts de désactivation des capacités de journalisation. 

Ce n’est pas la récemment découverte vulnérabilité CVE-2025-21589 qui est ici concernée, mais la nouvellement décrite et corrigée CVE-2025-21590. L’activité malveillante associée a été observée sur des routeurs Juniper MX exécutant du logiciel obsolète et basés sur du matériel lui-même en fin de vie.

Si Mandiant attribue cette activité à l’acteur suivi sous la référence UNC3886, c’est pour avoir déjà observé le même ensemble de maliciels en 2022 et 2023 sur des systèmes de virtualisation VMware ESXi – y compris avec une vulnérabilité déjà exploitée en 2021 – et des équipements de bordure, notamment Fortinet, avec une vulnérabilité inédite.

Pour Mandiant, UNC3886 s’attache, lors de ces campagnes, à collecter les identifiants valides d’utilisateurs légitimes pour se déplacer latéralement dans le réseau et établir une persistance. Et cela en prenant pour point de départ l’un des angles morts de la détection, tout particulièrement par EDR : des équipements sur lesquels de tels agents de supervision ne peuvent pas être déployés.