A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) informou que um dispositivo Cisco Firepower de uma agência civil federal foi comprometido em setembro de 2025. O ataque utilizou um novo malware chamado FIRESTARTER, projetado como backdoor para acesso remoto persistente. A descoberta foi compartilhada junto ao Centro Nacional de Segurança Cibernética do Reino Unido (NCSC).
FIRESTARTER: um backdoor que ignora as atualizações de segurança 🔥
O malware FIRESTARTER opera como um backdoor que permite aos atacantes manter controle remoto do dispositivo comprometido. O mais preocupante é que ele conseguiu sobreviver aos patches de segurança aplicados no equipamento Cisco Firepower que executava o software Adaptive Security Appliance (ASA). Isso indica que o malware emprega técnicas de persistência avançadas, possivelmente se escondendo na memória ou explorando falhas não documentadas do firmware, o que dificulta sua detecção e erradicação por meio de métodos de correção convencionais.
O patch que não corrigiu nada, mas cobrou do mesmo jeito 💀
Os administradores de rede aplicaram patches na esperança de dormir tranquilos, mas o FIRESTARTER decidiu ficar morando no roteador como aquele inquilino que não paga aluguel. A CISA e o NCSC agora recomendam revisar logs, mas com certeza o atacante já apagou seus rastros enquanto tomava um café virtual. A única coisa mais persistente que esse malware é a burocracia para aprovar uma troca de senha.