Dos fallos, decenas de países, control absoluto: Storm-1849 convirtió a los Cisco ASA en una herramienta de espionaje globa
La directiva de emergencia de la CISA no detuvo los ataques: los ciberatacantes siguen manteniendo el acceso incluso tras aplicar el parche.
Un grupo de hackers chino, rastreado bajo el nombre Storm-1849, continúa atacando activamente dispositivos Cisco ASA, utilizados por organismos gubernamentales y grandes organizaciones en todo el mundo. Así lo informa el equipo de análisis Unit 42 de Palo Alto Networks, que observó las acciones de los atacantes durante octubre. Se registraron dispositivos vulnerables no solo en EE. UU., sino también en redes gubernamentales de Europa, Asia, África y Oceanía.
Cisco Adaptive Security Appliance es uno de los productos de red más utilizados, que combina funciones de cortafuegos, filtrado antivirus, protección antispam y otros componentes de seguridad. Gracias a su amplia adopción en la infraestructura de ministerios, bancos y contratistas del sector de defensa, estos sistemas se han convertido en objetivo prioritario de los atacantes.
Según Unit 42, la actividad del grupo Storm-1849 fue especialmente notable durante octubre, salvo por una pausa en la primera semana del mes —presumiblemente debido a la celebración de la Semana Dorada en China. Se observó reconocimiento dirigido y explotación de 12 direcciones IP pertenecientes a entidades federales de EE. UU., así como 11 direcciones a nivel estatal y municipal. Además de EE. UU., en la lista de afectados figuran direcciones asociadas a sistemas gubernamentales en India, Francia, Reino Unido, Japón, Noruega, Emiratos Árabes Unidos, Australia, Polonia, Austria, España, Países Bajos, Nigeria, Azerbaiyán y Bután.
Storm-1849 también es conocida como UAT4356. Según Cisco, este grupo ha estado explotando vulnerabilidades en dispositivos ASA al menos desde 2024. La compañía colaboró con agencias gubernamentales para investigar una ola de ataques dirigidos a la serie ASA 5500-X con servicios web VPN habilitados.
En octubre, la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) emitió una orden de emergencia, obligando a todos los organismos civiles federales a instalar de inmediato las actualizaciones para dos vulnerabilidades críticas — CVE-2025-30333 y CVE-2025-20362. En el informe de la agencia se indica que los atacantes combinan ambas vulnerabilidades para obtener acceso persistente al sistema incluso después de reinicios o actualizaciones de firmware.
A pesar de la directiva y de la amplia difusión de la amenaza, los ataques de Storm-1849 no han cesado. Los expertos advierten que este grupo opera a alta velocidad y muestra señales claras de desarrollo. Aunque CISA no atribuye formalmente el origen de los ataques a China, un análisis relacionado de la infraestructura ArcaneDoor realizado por investigadores de Censys reveló vínculos con proveedores chinos y software para eludir bloqueos creado en China.
Tanto CISA como Cisco declinaron hacer comentarios adicionales sobre la pertenencia de la campaña de 2025 a grupos chinos, a pesar de las similitudes con la operación ArcaneDoor, revelada el año anterior.