UAT‑9686 : campagne APT ciblant Cisco Secure Email Gateway et Web Manager

Talos Intelligence a révélé qu’un groupe APT que l’équipe suit sous l’identifiant UAT‑9686, vraisemblablement d’origine chinoise, mène des attaques actives contre des appliances Cisco AsyncOS (Secure Email Gateway/ESA) et Cisco Secure Email and Web Manager/SMA, en exploitant des configurations non standard pour infiltrer les systèmes. Lors des incidents observés depuis au moins fin novembre 2025, les attaquants ont exécuté des commandes système à distance, implanté une porte dérobée Python nommée “AquaShell” capable d’écouter des requêtes encodées HTTP pour exécuter des commandes shell, et utilisé des outils complémentaires comme un tunnel reverse SSH (“AquaTunnel”) et des utilitaires de nettoyage de logs pour maintenir la persistance et masquer leurs traces. Cette compromission affecte l’intégrité et la confidentialité des systèmes ciblés, avec un risque accru de pivot interne si les appliances ne sont pas rigoureusement configurées selon les recommandations de Cisco TAC et les conseils spécifiques de l’éditeur pour durcir les configurations et bloquer les indicateurs de compromission.

Source : Cisco Talos