Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Malware RESURGE

Malware RESURGE

Por Mezo en Amenaza persistente avanzada (APT), Software malicioso
Traducir a:
Español

Los investigadores han descubierto una nueva cepa de malware, RESURGE, que se ha implementado en ataques que explotan una vulnerabilidad de seguridad ya corregida en los dispositivos Ivanti Connect Secure (ICS). Este sofisticado malware aprovecha las capacidades de la variante SPAWNCHIMERA, pero introduce comandos únicos que modifican su comportamiento.

Un conjunto de herramientas versátil y amenazante

RESURGE no es un simple exploit; posee diversas funcionalidades, como rootkit, dropper, backdoor, bootkit, proxy y tunelizador. Estas capacidades lo convierten en una herramienta formidable para los atacantes que buscan mantener la persistencia y el control sobre los sistemas comprometidos.

La vulnerabilidad explotada: CVE-2025-0282

El malware aprovecha CVE-2025-0282, una vulnerabilidad de desbordamiento de búfer basada en pila que afecta a varios productos de Ivanti, incluidos:

  • Ivanti Connect Secure (versión anterior a 22.7R2.5)
  • Ivanti Policy Secure (versión anterior a 22.7R1.2)
  • Ivanti Neurons para ZTA Gateways (versión anterior a 22.7R2.3)

Esta falla permite la ejecución remota de código, lo que permite a los atacantes implementar malware sofisticado como RESURGE.

El ecosistema de malware SPAWN

Los investigadores de ciberseguridad han vinculado la explotación de CVE-2025-0282 al ecosistema de malware SPAWN, que incluye componentes como:

  • DESovador
  • TOPO GENERADOR
  • CARACOL DE DESOPERO

Este ecosistema ha sido atribuido a UNC5337, un grupo de espionaje con nexo con China conocido por sus operaciones de espionaje cibernético.

SPAWNCHIMERA: La amenaza evolucionada

Un avance notable en la cadena de ataque es la variante SPAWNCHIMERA, que consolida los módulos individuales de SPAWN en un único malware monolítico. Esta versión introduce una mejora significativa:

  • Comunicación entre procesos a través de sockets de dominio UNIX
  • Aplicación de un parche a CVE-2025-0282 para evitar que actores de amenazas rivales aprovechen la misma vulnerabilidad

RESURGE: Un paso más allá de SPAWNCHIMERA

La última iteración, RESURGE ('libdsupgrade.so'), amplía SPAWNCHIMERA con tres comandos adicionales:

  • Persistencia y manipulación del sistema : se inserta en 'ld.so.preload', configura un shell web, altera las comprobaciones de integridad y modifica archivos.
  • Explotación de credenciales y privilegios : permite el uso de Web Shell para la recolección de credenciales, creación de cuentas, restablecimiento de contraseñas y escalada de privilegios.
  • Persistencia de arranque : copia el shell web al disco de arranque de Ivanti en ejecución y modifica la imagen de coreboot para garantizar el acceso a largo plazo.

Hallazgos adicionales: SPAWNSLOTH y DSMain

Los investigadores también han identificado dos artefactos de malware adicionales de un dispositivo ICS comprometido dentro de una infraestructura crítica:

  • SPAWNSLOTH ('liblogblock.so') – Una variante integrada en RESURGE que manipula los registros del dispositivo Ivanti para cubrir pistas.
  • DSMain : un binario ELF de Linux de 64 bits personalizado que contiene un script de shell de código abierto y componentes de BusyBox, lo que permite la extracción del núcleo y una mayor vulneración del sistema.

Explotación de día cero por parte de otro actor de amenazas

Cabe destacar que Silk Typhoon (anteriormente Hafnium ), otro grupo de ciberespionaje vinculado a China, también ha explotado la vulnerabilidad CVE-2025-0282 como vulnerabilidad de día cero. Esto subraya el gran valor de esta vulnerabilidad entre los actores de amenazas estatales.

Estrategias de mitigación: mantenerse a la vanguardia de las amenazas

Dada la rápida evolución de estas variantes de malware, las organizaciones deben tomar medidas inmediatas para proteger sus instancias de Ivanti:

  • Parche a la última versión para cerrar la vulnerabilidad CVE-2025-0282.
  • Restablecer credenciales para cuentas privilegiadas y no privilegiadas.
  • Rotar contraseñas para todos los dominios y cuentas locales.
  • Revise las políticas de acceso y revoque temporalmente los privilegios de los dispositivos afectados.
  • Monitorear las cuentas para detectar cualquier signo de actividad anómala.

Dado que los atacantes perfeccionan activamente sus técnicas, las medidas de defensa proactivas son esenciales para salvaguardar la infraestructura crítica y los datos confidenciales.

Artículos Relacionados

El Caballo de Troya Gumblar Resurge y Aprovecha las...

Seguridad informática
Investigadores de seguridad testifican el resurgimiento del Gumblar, pedazo de código maligno que se propaga a través de sitios Web legítimos pero inseguros ya que comprometidos. En mayo de este año, se descubrió el Gumblar en miles de sitios Web legítimos pirateados que fueron inyectados con un código maligno para que mostraran un iframe que permitiera a los atacantes cambiar su contenido a...

Tendencias

Mas Visto

Cargando...