Los investigadores de seguridad han descubierto un serio compromiso en F5 Networks que involucra a sus dispositivos BIG-IP. Los piratas informáticos vinculados a un grupo de amenazas del nexo con China conocido como UNC5221 obtuvieron acceso persistente a los sistemas internos de F5 y sentaron las bases para lo que parece ser una campaña de puerta trasera muy avanzada. El grupo permaneció sin ser detectado en algunos sistemas durante al menos un año.
F5 identificó por primera vez una actividad sospechosa el 9 de agosto de 2025 y solo reveló el incidente públicamente el 15 de octubre después de consultar con las fuerzas del orden de EE. UU. La compañía admitió que el código fuente y los datos de configuración interna de los sistemas BIG-IP fueron robados.
La puerta trasera de Brickstorm y cómo funciona
La puerta trasera utilizada en esta campaña ha sido apodada Brickstorm. Los investigadores lo describen como un ejecutable autónomo integrado en Go, diseñado específicamente para entornos de dispositivos de borde donde las herramientas de seguridad tradicionales son escasas. Admite conexiones cifradas salientes que imitan el tráfico web normal, actualizaciones a WebSocket para comando y control, e incluso aprovecha el proxy de estilo SOCKS para que los atacantes puedan moverse dentro de la red sin ser detectados.
A diferencia de muchas familias de malware que dependen del malware que cae en los endpoints, Brickstorm se dirige a dispositivos de administración de red como BIG-IP, convirtiéndolos en puntos de salida sigilosos y a largo plazo para los atacantes. Los registros y la telemetría son mínimos, lo que dificulta mucho la detección.
El código robado aumenta las apuestas
Lo que hace que esta violación sea especialmente preocupante es el robo de código fuente propietario e información de vulnerabilidad interna de F5. Eso les da a los atacantes visibilidad potencial de fallas no reveladas en BIG-IP y productos relacionados. Los expertos advierten que esto podría acelerar el descubrimiento de exploits de día cero y hacer que los dispositivos vulnerables se conviertan en armas más fácilmente.
En respuesta, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió la Directiva de Emergencia ED 26-01, que requiere que las agencias federales hagan un inventario de los dispositivos F5 BIG-IP, eliminen las interfaces de administración de Internet si es posible y apliquen parches de inmediato.
Qué significa esto para las organizaciones
Para cualquier empresa que utilice dispositivos F5 BIG-IP, la infracción indica una acción urgente. Los sistemas de equilibrio de carga de red y gestión del tráfico, que a menudo son confiables y menos monitoreados, ahora se pueden convertir en armas como pivotes en las redes internas.
Las organizaciones deben:
- Hacer un inventario de todos los dispositivos y comprobar si las consolas de administración están expuestas a Internet
- Aplique las últimas actualizaciones de firmware y seguridad de F5
- Segmentar el tráfico de red para que la administración de dispositivos no se encuentre en los mismos carriles de confianza que los activos empresariales
- Supervise el tráfico saliente anormal que se asemeja a los patrones de carga del navegador o los túneles WebSocket
Incluso si una red aún no está infectada, el modelo de amenazas existente debe cambiar para tratar los dispositivos de administración como activos de alta prioridad.
F5 dice que no tiene evidencia de que las fallas robadas hayan sido explotadas hasta ahora en la naturaleza, pero advierte que la capacidad existe y debe tratarse como una amenaza inminente. Las organizaciones no deben asumir que “todavía” significa “nunca”.
Las campañas de ataque futuras pueden implementar vulnerabilidades más antiguas de manera más agresiva, aprovechar el código fuente robado para exploits novedosos o iniciar ataques a la cadena de suministro que se canalizan a través de ecosistemas de dispositivos. Por ahora, los observadores deben asumir que los atacantes ya tienen una visión profunda y están planeando el siguiente paso.