Una vulnerabilidad de siete años que afecta a los dispositivos de la red Cisco al final de la vida está siendo explotada por un grupo de espionaje cibernético patrocinado por el estado ruso. Cisco Talos declaró que el grupo, conocido como tundra estática, se ha observado comprometiendo dispositivos Cisco durante varios años. El Grupo de piratería alineado en Rusia ha estado explotando una vulnerabilidad revelada previamente en la función de instalación inteligente del software Cisco IOS y el software Cisco IOS XE (CVE-2018-0171) que se ha dejado sin parpadear, a menudo después de que esos dispositivos han alcanzado su fecha de fin de vida. El FBI y Cisco Talos emitieron advertencias separadas sobre la campaña el 20 de agosto de 2025. «Los actores de amenaza continuarán abusando de dispositivos que permanecen sin parches y tienen una instalación inteligente habilitada», advirtió el aviso de amenazas de Cisco Talos. Se ha instado a los clientes a aplicar el parche para CVE-2018-0171 o para deshabilitar la instalación inteligente si el parche no es una opción. El parche se emitió por primera vez en 2018. Cuando se explotó, el error podría permitir que un atacante remoto no autenticado active una recarga de un dispositivo afectado, lo que resulta en una condición de denegación de servicio (DOS) o ejecutar código arbitrario en un dispositivo afectado. Víctimas de interés estratégico para Rusia El FBI señaló que había observado la tundra estática recopilando archivos de configuración en miles de dispositivos de redes asociados con entidades estadounidenses en sectores de infraestructura crítica. Cisco evaluó que los objetivos principales de la tundra estática incluyen organizaciones en telecomunicaciones, educación superior y sectores manufactureros en América del Norte, Asia, África y Europa. Las víctimas se seleccionan generalmente en función de su interés estratégico para el gobierno ruso. Cisco Talos también señaló que algunas víctimas tienen su sede en Ucrania. La firma cree que la tundra estática continuará centrándose en las organizaciones de interés político en Ucrania y entre sus aliados en el futuro. Las operaciones de Tundra estática contra entidades en Ucrania se intensificaron al comienzo de la Guerra de Rusia-Ucrania y se han mantenido altas desde entonces, señalaron los investigadores de Cisco. Leer más: La operación de espionaje rusa apunta a las organizaciones vinculadas a la guerra de la Guerra de Ucrania Tundra estática, una amenaza a largo plazo Tundra estática, probablemente un subgrupo de oso enérgico/oso oso/libélulas de oso enérgico, es un grupo de amenaza bien establecido que ha operado durante más de una década. El grupo se ha atribuido al Centro del Servicio de Seguridad Federal Rusia (FSB) 16. El FBI señaló que desde 2015, esta unidad ha comprometido los dispositivos de redes comprometidos a nivel mundial, particularmente dispositivos que aceptan protocolos heredados no cifrados como SMI y las versiones simples de protocolo de gestión de redes (SNMP) uno y dos. Esta unidad también ha implementado herramientas personalizadas para ciertos dispositivos de Cisco, como el malware identificado públicamente como Knock Synful en 2015. Cisco ha evaluado que el grupo tiene dos objetivos operativos principales. Una es comprometer los dispositivos de red para recopilar información confidencial de configuración del dispositivo que se pueda aprovechar para admitir operaciones futuras. El segundo es establecer un acceso persistente a entornos de red para apoyar el espionaje a largo plazo. El análisis de Cisco señaló que debido a la gran presencia global de la infraestructura de la red de Cisco y el acceso potencial que ofrece, el grupo se centra en gran medida en la explotación de estos dispositivos y posiblemente también en el desarrollo de herramientas para interactuar y persistir en estos dispositivos. La tundra estática utiliza herramientas a medida que priorizan la persistencia y el sigilo para lograr estos objetivos. Entre estas herramientas se encuentra una herramienta a medida que permite a la tundra estática automatizar la explotación de CVE-2018-0171.