UAT-4356 déploie le backdoor FIRESTARTER sur les équipements Cisco Firepower via des CVE n-day

🔍 Contexte Publié le 23 avril 2026 par Cisco Talos, cet article constitue une analyse technique détaillée d’une campagne active menée par le groupe UAT-4356, précédemment attribué à la campagne étatique ArcaneDoor (début 2024), ciblant les équipements réseau périmètriques à des fins d’espionnage. 🎯 Vecteur d’accès initial UAT-4356 a exploité deux vulnérabilités n-day affectant le système d’exploitation Cisco FXOS (Firepower eXtensible Operating System) : CVE-2025-20333 CVE-2025-20362 Ces vulnérabilités ont permis un accès non autorisé aux équipements Cisco Firepower, ASA et FTD.

Firestarter Malware Evades Cisco Firewall Updates, Persists Across Reboots

Learn how Firestarter malware evades Cisco firewall updates and persists across reboots. Discover the threat actor behind it and protect your devices now with expert security tips.

CISA Warns of Active Attacks on Cisco ASA and Firepower Flaws

Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread

Cisco : exploitation active des zero-days ASA/FTD (CVE-2025-20362 & CVE-2025-20333) causant des redémarrages en boucle

Source : BleepingComputer — Cisco avertit que deux vulnérabilités déjà exploitées en zero-day contre ses pare-feux ASA/FTD (CVE-2025-20362 et CVE-2025-20333) sont désormais utilisées pour provoquer des redémarrages en boucle, entraînant des dénis de service. La CISA a émis une directive d’urgence pour les agences fédérales américaines. • Vulnérabilités et impact: les failles CVE-2025-20362 (accès non authentifié à des endpoints URL restreints) et CVE-2025-20333 (RCE après authentification) peuvent, en chaîne, donner un contrôle total des systèmes non patchés. Un nouvel artéfact d’attaque observé le 5 novembre 2025 force des redémarrages inattendus des appareils, causant un DoS.

Exploitation active de failles critiques WebVPN sur Cisco ASA/FTD (CVE-2025-20362/20333/20363)

Selon Horizon3.ai, plusieurs vulnérabilités critiques affectant les composants WebVPN de Cisco ASA et FTD sont exploitées activement par l’acteur UAT4356, dit ArcaneDoor, ce qui a conduit la CISA à publier l’Emergency Directive 25-03. Les versions concernées sont Cisco ASA 9.16–9.23 et Cisco FTD 7.0–7.7. 🚨 Vulnérabilités et impact CVE-2025-20362 (bypass d’authentification) permet, via des requêtes HTTP(S) forgées, d’atteindre des endpoints WebVPN restreints. Chaînée avec CVE-2025-20333, cette faille conduit à une exécution de code à distance (RCE) en root, sans authentification, via des requêtes HTTPS malveillantes. CVE-2025-20363 constitue une RCE distincte affectant ASA/FTD sans authentification et certains composants Cisco IOS avec authentification. 🎯 Menace et attribution

Analysis of ArcaneDoor Threat Infrastructure Suggests Potential Ties to Chinese-based Actor

April 30, 2024: Cisco ASA and FTD vulnerabilities lead to breached government networks

ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices

Cisco is aware of new activity targeting certain Cisco Adaptive Security Appliances (ASA) 5500-X Series and has released three CVEs related to the event. We assess with high confidence this activity is related to same threat actor as ArcaneDoor in 2024.

ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices

Cisco is aware of new activity targeting certain Cisco Adaptive Security Appliances (ASA) 5500-X Series and has released three CVEs related to the event. We assess with high confidence this activity is related to same threat actor as ArcaneDoor in 2024.

ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices

Cisco is aware of new activity targeting certain Cisco Adaptive Security Appliances (ASA) 5500-X Series and has released three CVEs related to the event. We assess with high confidence this activity is related to same threat actor as ArcaneDoor in 2024.