La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) informó que un dispositivo Cisco Firepower de una agencia civil federal fue comprometido en septiembre de 2025. El ataque utilizó un nuevo malware llamado FIRESTARTER, diseñado como backdoor para acceso remoto persistente. El hallazgo fue compartido junto al Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).
FIRESTARTER: un backdoor que ignora las actualizaciones de seguridad 🔥
El malware FIRESTARTER opera como un backdoor que permite a los atacantes mantener control remoto del dispositivo comprometido. Lo más preocupante es que logró sobrevivir a los parches de seguridad aplicados en el equipo Cisco Firepower que ejecutaba el software Adaptive Security Appliance (ASA). Esto indica que el malware emplea técnicas de persistencia avanzadas, posiblemente ocultándose en la memoria o explotando fallos no documentados del firmware, lo que dificulta su detección y erradicación mediante métodos de parcheo convencionales.
El parche que no parcheó nada, pero cobró igual 💀
Los administradores de red aplicaron parches con la esperanza de dormir tranquilos, pero FIRESTARTER decidió quedarse a vivir en el router como ese inquilino que no paga alquiler. CISA y el NCSC ahora recomiendan revisar logs, pero seguro que el atacante ya borró sus huellas mientras disfrutaba de un café virtual. Lo único más persistente que este malware es la burocracia para aprobar un cambio de contraseña.