Với mã định danh CVE-2025-20393, lỗ hổng này chỉ ảnh hưởng đến các thiết bị Cisco SEG và Cisco SEWM có cấu hình không chuẩn, khi tính năng Spam Quarantine được bật và hiển thị trên Internet.

Cisco Talos, nhóm nghiên cứu tình báo về mối đe dọa của công ty, nhận định rằng một nhóm tội phạm mạng Trung Quốc được theo dõi là UAT-9686 đứng sau các cuộc tấn công lợi dụng lỗ hổng bảo mật này, nhằm thực thi các lệnh tùy ý với quyền root và triển khai các backdoor AquaShell, phần mềm độc hại AquaTunnel và Chisel, cùng một công cụ xóa log có tên AquaPurge.

Theo các nhà nghiên cứu, AquaTunnel và các công cụ độc hại khác sử dụng trong các cuộc tấn công này trước đây cũng từng được liên kết với các nhóm tin tặc do nhà nước hậu thuẫn như UNC5174 và APT41.

Cisco Talos cho biết: “Chúng tôi đánh giá UAT-9686 thực chất là một nhóm APT có liên hệ với Trung Quốc, với các công cụ và cơ sở hạ tầng được sử dụng phù hợp với các tác nhân đe dọa khác đến từ quốc gia này. UAT-9686 triển khai một cơ chế duy trì kết nối tùy chỉnh mà chúng tôi theo dõi với tên gọi AquaShell, kèm theo các công cụ bổ sung được thiết kế cho reverse tunnel và xóa log”.

Mặc dù công ty đã phát hiện ra các cuộc tấn công này vào ngày 10/12, nhưng chiến dịch này thực tế hoạt động ít nhất từ ​​cuối tháng 11/2025. Hiện tại, Cisco vẫn chưa phát hành bản cập nhật bảo mật để khắc phục lỗ hổng zero-day này, công ty đưa ra khuyến cáo các quản trị viên nên bảo mật và hạn chế quyền truy cập vào các thiết bị dễ bị ảnh hưởng.

Các khuyến nghị bao gồm hạn chế truy cập Internet, hạn chế kết nối đến các máy chủ không đáng tin cậy và đặt các thiết bị phía sau tường lửa để lọc lưu lượng truy cập.

Quản trị viên cũng nên tách biệt chức năng xử lý mail và quản lý, theo dõi log web để phát hiện hoạt động bất thường và lưu giữ chúng để phục vụ điều tra. Ngoài ra, cũng nên tắt các dịch vụ không cần thiết, cập nhật hệ thống lên phiên bản phần mềm Cisco AsyncOS mới nhất, triển khai các phương thức xác thực mạnh mẽ như SAML hoặc LDAP, thay đổi mật khẩu mặc định và sử dụng SSL hoặc TLS.