
Router Juniper Networks tingkat perusahaan telah menjadi target pintu belakang khusus sebagai bagian dari kampanye yang dijuluki J-sihir.
Menurut tim Black Lotus Labs di Lumen Technologies, aktivitas ini dinamakan demikian karena fakta bahwa pintu belakang terus memantau “paket ajaib” yang dikirim oleh pelaku ancaman dalam lalu lintas TCP.
“Kampanye J-magic menandai kejadian langka malware yang dirancang khusus untuk JunoOS, yang melayani pasar serupa tetapi bergantung pada sistem operasi yang berbeda, varian dari FreeBSD,” kata perusahaan itu dalam sebuah laporan yang dibagikan kepada The Hacker News.

Bukti yang dikumpulkan oleh perusahaan menunjukkan bahwa sampel pintu belakang paling awal berasal dari September 2023, dengan aktivitas yang berlangsung antara pertengahan tahun 2023 dan pertengahan tahun 2024. Sektor semikonduktor, energi, manufaktur, dan teknologi informasi (TI) menjadi sektor yang paling disasar.
Infeksi telah dilaporkan di Eropa, Asia, dan Amerika Selatan, termasuk Argentina, Armenia, Brasil, Chili, Kolombia, Indonesia, Belanda, Norwegia, Peru, Inggris, Amerika Serikat, dan Venezuela.
Kampanye ini terkenal karena mengerahkan agen setelah mendapatkan akses awal melalui metode yang belum ditentukan. Agen, varian dari pintu belakang yang tersedia untuk umum yang disebut sebagai cd00r, menunggu lima parameter berbeda yang telah ditentukan sebelumnya sebelum memulai operasinya.
Saat menerima paket ajaib ini, agen dikonfigurasi untuk mengirim kembali tantangan sekunder, setelah itu J-magic membuat shell terbalik ke alamat IP dan port yang ditentukan dalam paket ajaib. Hal ini memungkinkan penyerang untuk mengontrol perangkat, mencuri data, atau menyebarkan muatan tambahan.
Lumen berteori bahwa dimasukkannya tantangan ini adalah upaya pihak musuh untuk mencegah aktor ancaman lain mengeluarkan paket sihir secara sembarangan dan menggunakan kembali agen J-magic untuk mencapai tujuan mereka sendiri.
Perlu dicatat bahwa varian lain dari cd00r, dengan nama kode SEASPY, diterapkan sehubungan dengan kampanye yang ditujukan pada peralatan Barracuda Email Security Gateway (ESG) pada akhir tahun 2022.
Meskipun demikian, pada tahap ini tidak ada bukti yang menghubungkan kedua kampanye tersebut, dan kampanye J-magic juga tidak menunjukkan tanda-tanda bahwa kampanye tersebut tumpang tindih dengan kampanye lain yang menargetkan router tingkat perusahaan seperti Jaguar Tooth dan BlackTech (alias Canary Typhoon).

Mayoritas alamat IP yang berpotensi terkena dampak dikatakan adalah router Juniper yang bertindak sebagai gateway VPN, dengan cluster kedua yang lebih kecil terdiri dari router dengan port NETCONF yang terbuka. Dipercaya bahwa perangkat konfigurasi jaringan mungkin menjadi sasaran karena kemampuannya mengotomatiskan informasi dan manajemen konfigurasi router.
Dengan router yang disalahgunakan oleh aktor-aktor negara yang bersiap menghadapi serangan lanjutan, temuan terbaru ini menggarisbawahi berlanjutnya penargetan infrastruktur edge, yang sebagian besar disebabkan oleh waktu operasional yang lama dan kurangnya perlindungan deteksi dan respons titik akhir (EDR) pada perangkat tersebut.
“Salah satu aspek yang paling menonjol dari kampanye ini adalah fokus pada router Juniper,” kata Lumen. “Meskipun kita telah melihat banyak penargetan terhadap peralatan jaringan lain, kampanye ini menunjukkan bahwa penyerang dapat berhasil memperluas ke jenis perangkat lain seperti router tingkat perusahaan.”