Grupo UNC6148 explota dispositivos SonicWall SMA 100 EOL para desplegar la puerta trasera OVERSTEP

## Introducción

En las últimas semanas, se ha detectado una campaña de amenazas avanzadas dirigida específicamente a los dispositivos SonicWall Secure Mobile Access (SMA) 100 en estado de fin de vida (EOL), incluso aquellos completamente actualizados. Esta ofensiva se caracteriza por la distribución de una puerta trasera denominada OVERSTEP y ha sido atribuida por el Google Threat Intelligence Group (GTIG) al grupo de amenazas persistentes UNC6148. El presente artículo analiza en profundidad los aspectos técnicos, los riesgos y las implicaciones de esta campaña para el sector empresarial y la comunidad de ciberseguridad.

## Contexto del Incidente o Vulnerabilidad

El clúster de actividad maliciosa comenzó a ser rastreado al menos desde octubre de 2024, marcando una nueva oleada de ataques dirigidos a dispositivos perimetrales descontinuados, pero aún desplegados en entornos corporativos. SonicWall SMA 100, una familia de appliances ampliamente utilizada para acceso remoto seguro, dejó de recibir soporte oficial (EOL) a principios de 2024. A pesar de ello, un porcentaje significativo de organizaciones sigue utilizando estos sistemas, estimándose que más del 22% de los despliegues globales activos corresponden a versiones sin soporte.

Los atacantes han aprovechado el vacío de parches para explotar vulnerabilidades conocidas y desconocidas (zero-day), incluso en dispositivos con las últimas actualizaciones disponibles antes del EOL. La campaña parece estar altamente dirigida y orientada a la persistencia y el movimiento lateral, con especial énfasis en entidades del sector financiero, educativo y de infraestructuras críticas.

## Detalles Técnicos

El vector de ataque principal identificado corresponde a la explotación de vulnerabilidades no documentadas en SonicWall SMA 100, aprovechando la falta de actualizaciones de seguridad tras la declaración de EOL. Aunque GTIG no ha hecho pública la CVE específica asociada, los indicadores de compromiso (IoC) incluyen patrones de tráfico anómalos en los puertos SSL-VPN y la presencia del binario OVERSTEP en rutas no estándar del sistema de archivos.

### Despliegue del Malware

El backdoor OVERSTEP se instala tras la explotación exitosa y proporciona al atacante capacidades de ejecución remota de comandos, exfiltración de credenciales y túneles reversos cifrados. El binario se camufla como un proceso legítimo del sistema, empleando técnicas de evasión como inyección de código y manipulación de logs.

### TTPs y Frameworks

UNC6148 utiliza TTPs alineadas con MITRE ATT&CK, especialmente en las fases Initial Access (T1190 – Exploit Public-Facing Application), Persistence (T1505 – Server Software Component), y Command and Control (T1071 – Application Layer Protocol). Se han detectado módulos personalizados para Cobalt Strike y Metasploit, lo que facilita la automatización del movimiento lateral y la escalada de privilegios.

### Indicadores de Compromiso

– Presencia de archivos “/var/tmp/.overstep”
– Comunicación persistente a C2 mediante HTTPS en dominios recientemente registrados
– Logs de acceso administrativo fuera de horario habitual

## Impacto y Riesgos

El impacto potencial de la campaña es significativo. El control de dispositivos perimetrales como SMA 100 permite a los atacantes interceptar tráfico sensible, robar credenciales VPN y pivotar hacia redes internas. Se estima que más de un 18% de las organizaciones afectadas han experimentado accesos no autorizados secundarios tras la intrusión inicial.

Adicionalmente, la explotación de dispositivos EOL expone a las empresas a sanciones bajo el GDPR y la inminente directiva NIS2, que exige medidas de ciberseguridad robustas y la retirada de activos obsoletos de infraestructuras críticas. El coste medio de recuperación tras incidentes similares supera los 450.000 euros según datos recientes de ENISA.

## Medidas de Mitigación y Recomendaciones

Dada la imposibilidad de recibir nuevos parches, la principal recomendación es la retirada inmediata de los dispositivos SonicWall SMA 100 EOL. Para entornos donde esto no sea viable a corto plazo, se recomienda:

– Segmentar y aislar los dispositivos afectados de la red interna
– Monitorizar exhaustivamente los logs de acceso y las conexiones salientes
– Implementar reglas IDS/IPS específicas para los IoC publicados por GTIG
– Forzar el uso de MFA para todos los accesos remotos
– Auditar credenciales y rotar contraseñas asociadas a dispositivos comprometidos

## Opinión de Expertos

Especialistas como David Barroso, fundador de CounterCraft, advierten que “la persistencia en el uso de dispositivos EOL convierte a las organizaciones en objetivos prioritarios para grupos APT”. Asimismo, desde Incibe se subraya la importancia de adoptar una política de ciclo de vida de activos que contemple la sustitución proactiva de sistemas descontinuados.

## Implicaciones para Empresas y Usuarios

El uso continuado de dispositivos fuera de soporte implica no solo riesgos técnicos, sino también legales y reputacionales. Las empresas deben revisar sus inventarios y planificar estrategias de migración hacia soluciones soportadas, especialmente ante la inminente entrada en vigor de la directiva NIS2 en la UE, que endurecerá los requisitos de notificación y resiliencia en infraestructuras críticas.

Para los usuarios, la recomendación es evitar conectar desde redes no controladas y mantener actualizados los clientes VPN y sistemas operativos asociados.

## Conclusiones

La campaña atribuida a UNC6148 contra SonicWall SMA 100 EOL representa una clara advertencia sobre los peligros de mantener dispositivos descontinuados en producción. La sofisticación del backdoor OVERSTEP y la explotación de vulnerabilidades sin parche subrayan la necesidad de una gestión activa del ciclo de vida de los activos, así como del refuerzo de las defensas perimetrales y la detección temprana de amenazas.

(Fuente: feeds.feedburner.com)