Um grupo sofisticado de hackers patrocinado por um estado-nação não revelado invadiu a rede da F5, roubando o código-fonte do BIG-IP e detalhes de vulnerabilidades, provocando alertas de emergência das autoridades dos EUA e do Reino Unido. Milhares de redes, incluindo as de agências governamentais dos EUA e empresas da Fortune 500, enfrentam riscos iminentes de ataques potenciais na cadeia de suprimentos. A F5 lançou atualizações, mas os usuários devem agir imediatamente para proteger seus sistemas.
A F5, uma fabricante de software de rede com sede em Seattle, divulgou em 15 de outubro de 2025 que um grupo de ameaças 'sofisticado' apoiado por um estado-nação não divulgado havia infiltrado persistentemente sua rede por um longo período, possivelmente anos. Os hackers obtiveram controle sobre o segmento usado para construir e distribuir atualizações para o BIG-IP, um produto implantado por 48 das 50 maiores corporações do mundo como balanceadores de carga, firewalls e ferramentas de inspeção de dados nas bordas da rede.
Durante a intrusão, o grupo baixou o código-fonte proprietário do BIG-IP, informações sobre vulnerabilidades descobertas privadamente mas não corrigidas, e configurações de clientes. Esse acesso levanta temores de ataques na cadeia de suprimentos, onde hackers poderiam explorar fraquezas para invadir milhares de redes sensíveis, ou abusar de credenciais roubadas para intrusões adicionais. Como observou a F5, a posição de borda do BIG-IP permite que dispositivos comprometidos expandam o acesso mais profundamente nas redes infectadas.
Investigações da IOActive, NCC Group, Mandiant e CrowdStrike não encontraram evidências de adulteração na cadeia de suprimentos, vulnerabilidades introduzidas ou acesso aos sistemas CRM, financeiros, de suporte ou de saúde da F5. As empresas confirmaram que não há vulnerabilidades críticas no código analisado e na pipeline de construção. Dois dias antes, a F5 rotacionou os certificados de assinatura do BIG-IP, embora sua ligação com a violação permaneça não confirmada.
A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) alertou sobre uma 'ameaça iminente' e 'risco inaceitável' para agências federais, ordenando que elas inventariem todos os dispositivos BIG-IP —incluindo aqueles gerenciados por terceiros—, instalem as atualizações da F5 para produtos BIG-IP, F5OS, BIG-IQ e APM, e sigam um guia de caça a ameaças fornecido. O Centro Nacional de Cibersegurança do Reino Unido emitiu uma diretiva similar. Usuários do setor privado do BIG-IP enfrentam as mesmas recomendações para mitigar riscos.