Malware DslogdRAT
A finales de 2024, expertos en ciberseguridad descubrieron un nuevo troyano de acceso remoto (RAT), denominado DslogdRAT, instalado en dispositivos Ivanti Connect Secure (ICS) comprometidos. Los cibercriminales explotaron una vulnerabilidad crítica de día cero, identificada como CVE-2025-0282, que permitía la ejecución remota de código sin autenticación. Ivanti abordó esta vulnerabilidad a principios de enero de 2025, pero no antes de que se seleccionaran organizaciones en Japón.
Tabla de contenido
Abriéndonos paso a paso: acceso inicial a través de Web Shell
El primer paso de los atacantes consistió en implementar un shell web ligero basado en Perl camuflado en un script CGI. Esta puerta trasera se comprobaba en busca de un valor de cookie específico, DSAUTOKEN=af95380019083db5, antes de ejecutar comandos. Mediante este acceso, los atacantes pudieron ejecutar más malware, en particular DslogdRAT.
Bajo el radar: el flujo de ataque multietapa de DslogdRAT
DslogdRAT funciona a través de un proceso inteligente de varias etapas para evadir la detección:
Etapa 1: El proceso principal genera un proceso secundario responsable de decodificar los datos de configuración y lanzar un segundo proceso principal.
Etapa 2: Un proceso padre persistente permanece activo, incorporando intervalos de sueño para minimizar el riesgo de detección.
Etapa 3: El segundo proceso secundario inicia las funcionalidades principales de RAT, incluida la comunicación del sistema y la ejecución de comandos.
Esta arquitectura garantiza resiliencia y sigilo, lo que dificulta que los defensores descubran y eliminen el malware.
Conversaciones secretas: técnicas de comunicación personalizadas
La comunicación con el servidor de Comando y Control (C2) se realiza mediante sockets, utilizando un esquema de codificación personalizado basado en XOR. Los mensajes codificados incluyen huellas digitales críticas del sistema y se adhieren a un formato de comunicación estricto.
DslogdRAT admite varias funcionalidades clave:
- Carga y descarga de archivos
- Ejecución de comandos de shell
- Configuración de proxy para enrutar tráfico malicioso
Estas capacidades permiten a los atacantes mantener un control firme sobre los sistemas infectados y penetrar más profundamente en las redes.
Horario comercial exclusivo: tácticas inteligentes para evitar ser detectado
Una característica inusual de DslogdRAT es su horario operativo integrado: solo funciona entre las 8:00 y las 20:00. Fuera de este horario, permanece inactivo, imitando los patrones de actividad estándar del usuario y minimizando el riesgo de detección fuera del horario laboral.
Más de una amenaza: el descubrimiento de SPAWNSNARE
Además de DslogdRAT, se encontró otro malware llamado SPAWNSNARE en los sistemas afectados. Si bien no está claro si estos malware forman parte de la misma campaña o están directamente vinculados al grupo UNC5221, su presencia simultánea sugiere actividades coordinadas por actores de amenazas sofisticados.
Una amenaza creciente: nuevos exploits en 2025
En abril de 2025, investigadores de seguridad revelaron que otra vulnerabilidad, CVE-2025-22457, también se había utilizado para distribuir malware. Esta nueva campaña se ha atribuido a UNC5221, que se cree que es un grupo de hackers chino. Sin embargo, los expertos aún investigan si esta actividad está relacionada con los ataques anteriores de la familia de malware SPAWN.
