J-Magic: una nueva puerta trasera invisible dirigida a las VPN corporativas

Los especialistas de Black Lotus Labs descubrieron un nuevo backdoor llamado J-Magic, que se utilizó activamente para atacar VPN corporativas que ejecutan Junos OS de Juniper Networks. La herramienta maliciosa se caracteriza por un alto grado de sigilo y sofisticación tecnológica. El backdoor utiliza un mecanismo de agente pasivo que permanece inactivo hasta recibir una señal especial: Magic Packet.

El principio de funcionamiento de J-Magic radica en el análisis oculto del tráfico entrante. El software malicioso comprueba los paquetes de datos para cumplir cinco condiciones predeterminadas, tan específicas que no sobresalen en el tráfico de red habitual. Esto permite evitar la detección por parte de los sistemas de seguridad.

Una vez que se cumple una de las condiciones, el backdoor se activa y envía al iniciador una solicitud cifrada especial. Solo un atacante con la clave RSA secreta puede responder a ella. Este mecanismo evita el uso no autorizado de la vulnerabilidad por parte de otros hackers.

J-Magic es una versión modificada del prototipo de demostración cd00r, presentado por primera vez en el año 2000. Sin embargo, J-Magic ha ido aún más lejos al combinar la monitorización pasiva, la autenticación RSA y el almacenamiento en la memoria RAM, lo que lo hace prácticamente inasible.

Una de las principales características de J-Magic es su capacidad de operar exclusivamente en la memoria del dispositivo, sin instalarse en el sistema de archivos. Este enfoque dificulta enormemente su detección, ya que los métodos tradicionales de análisis del sistema de archivos resultan inútiles. El software malicioso también utiliza SSL para establecer una conexión inversa con la dirección IP del atacante, lo que dificulta aún más la supervisión y el análisis del tráfico de red.

El backdoor se descubrió en las redes de 36 organizaciones de sectores como la fabricación de semiconductores, la energía, la TI y la producción industrial. La campaña duró desde mediados de 2023 hasta mediados de 2024. Todavía no está claro cómo se instaló J-Magic en los dispositivos. Los escenarios posibles incluyen la explotación de vulnerabilidades en equipos de red o el uso de ataques de phishing para penetrar en las redes de las empresas.

El backdoor se activa tras la recepción de un «paquete mágico» que contiene datos específicos. Por ejemplo, una de las condiciones establece que dos bytes en una determinada sección de la cabecera TCP deben ser iguales a «1366», y el número de puerto de destino debe ser 443. Otras condiciones incluyen la presencia de secuencias únicas de bytes y posiciones específicas de las direcciones IP y puertos del atacante en la estructura del paquete. Si se cumple al menos una de las condiciones, J-Magic inicia el establecimiento de una conexión inversa, cifrando el intercambio de datos mediante claves RSA.

Tras la verificación exitosa, el hacker obtiene acceso a la línea de comandos del dispositivo, lo que le permite ejecutar cualquier comando hasta que finalice la sesión.

Los especialistas destacan que el uso de «paquetes mágicos» aumenta significativamente la capacidad de ocultación de este tipo de ataques. A diferencia de los backdoors estándar, que requieren la apertura de puertos de escucha, J-Magic analiza todo el tráfico entrante sin dejar rastros visibles. Esto dificulta el trabajo de los sistemas de ciberseguridad, ya que no son capaces de detectar conexiones activas relacionadas con la actividad maliciosa.

J-Magic forma parte de una tendencia más amplia de uso de «paquetes mágicos» en los ciberataques. Un ejemplo es la campaña con el backdoor SeaSpy, dirigida a los servidores de Barracuda. Ambos programas maliciosos se ejecutan en el sistema operativo FreeBSD, lo cual también es característico de Juniper y Barracuda.

Los investigadores destacan la necesidad de fortalecer la supervisión del tráfico de red y desarrollar nuevos métodos de protección contra este tipo de amenazas. El éxito de J-Magic demuestra una vez más la importancia de considerar no solo los aspectos de software, sino también los aspectos de red en la ciberseguridad.