Un sofisticado grupo de hackers respaldado por un estado nación no revelado irrumpió en la red de F5, robando el código fuente de BIG-IP y detalles de vulnerabilidades, lo que provocó advertencias de emergencia de las autoridades de EE.UU. y el Reino Unido. Miles de redes, incluidas las de agencias gubernamentales de EE.UU. y empresas del Fortune 500, enfrentan riesgos inminentes de posibles ataques en la cadena de suministro. F5 ha lanzado actualizaciones, pero los usuarios deben actuar de inmediato para asegurar sus sistemas.
F5, un fabricante de software de redes con sede en Seattle, reveló el 15 de octubre de 2025 que un grupo de amenazas 'sofisticado' respaldado por un estado nación no divulgado había infiltrado persistentemente su red durante un largo período, posiblemente años. Los hackers obtuvieron control del segmento utilizado para construir y distribuir actualizaciones para BIG-IP, un producto implementado por 48 de las 50 principales corporaciones del mundo como equilibradores de carga, firewalls y herramientas de inspección de datos en los bordes de la red.
Durante la intrusión, el grupo descargó código fuente propietario de BIG-IP, información sobre vulnerabilidades descubiertas de manera privada pero no parcheadas, y configuraciones de clientes. Este acceso genera temores de ataques en la cadena de suministro, donde los hackers podrían explotar debilidades para irrumpir en miles de redes sensibles, o abusar de credenciales robadas para intrusiones adicionales. Como señaló F5, la posición en el borde de BIG-IP permite que los dispositivos comprometidos expandan el acceso más profundo en las redes infectadas.
Investigaciones de IOActive, NCC Group, Mandiant y CrowdStrike no encontraron evidencia de manipulación en la cadena de suministro, vulnerabilidades introducidas o acceso a los sistemas CRM, financieros, de soporte o de salud de F5. Las firmas confirmaron que no hay vulnerabilidades críticas en el código analizado y en la tubería de compilación. Dos días antes, F5 rotó los certificados de firma de BIG-IP, aunque su vínculo con la brecha permanece sin confirmar.
La Agencia de Ciberseguridad e Infraestructura de Seguridad de EE.UU. (CISA) advirtió de una 'amenaza inminente' y 'riesgo inaceptable' para las agencias federales, ordenándoles inventariar todos los dispositivos BIG-IP —incluidos los gestionados por terceros—, instalar las actualizaciones de F5 para productos BIG-IP, F5OS, BIG-IQ y APM, y seguir una guía de caza de amenazas proporcionada. El Centro Nacional de Ciberseguridad del Reino Unido emitió una directiva similar. Los usuarios del sector privado de BIG-IP enfrentan las mismas recomendaciones para mitigar riesgos.