La Agencia de Seguridad de Infraestructura y Ciberseguridad el jueves advirtió que una variante de malware anteriormente utilizados en ataques contra entornos Ivanti Connect Secure pueden pasar desapercibidos en los sistemas.
En marzo de 2025, CISA emitió una alerta sobre el malwaredenominado Resurge, en relación con la explotación de CVE-2025-0282una vulnerabilidad de desbordamiento del búfer basada en pila en ciertas versiones de Ivanti Connect Secure y otros productos de Ivanti.
Desde entonces, la agencia ha analizado tres muestras del dispositivo Ivanti Connect Secure de un proveedor de infraestructura crítica después de que los piratas informáticos explotaran la falla para obtener acceso inicial. El análisis muestra que Resurge puede permanecer latente en un dispositivo hasta que un pirata informático remoto intente contactar con el dispositivo.
Como resultado, CISA insta a los equipos de seguridad a verificar posibles compromisos, en medio de preocupaciones de que no hayan sido detectados a mayor escala.
Investigadores Mandiant en enero de 2025 identificó un actor de amenazas del nexo con China que explota CVE-2025-0282. Ese grupo fue rastreado como UNC5337. Los investigadores sospechan que el grupo tenía vínculos con UNC5221, que se asoció con la explotación de las vulnerabilidades de Ivanti en 2024.
El primero de los tres archivos, llamado Resurge, tiene funciones similares a un malware llamado Spawnchimera, según CISA. Se crea un túnel Secure Shell con fines de comando y control. El análisis de 2025 mostró cómo Resurge incluye comandos que permiten la modificación de archivos, la manipulación de la verificación de integridad y la creación de shells web que se copian en un disco de arranque de Ivanti, según el aviso de CISA.
El segundo archivo es una variante de Spawnsloth, que altera los registros del dispositivo Ivanti. El tercer archivo es un binario que tiene un script de shell y un subconjunto de subprogramas de una herramienta de código abierto llamada BusyBox. Los piratas informáticos pueden aprovechar la herramienta para descargar y ejecutar cargas útiles en un dispositivo comprometido, según CISA.
El malware puede permanecer sin ser detectado en un sistema hasta que un actor de amenazas inicie una conexión con el dispositivo comprometido, dijo un portavoz de CISA a Cybersecurity Dive.
CISA no tiene conocimiento de que otros CVE estén siendo explotados en estos ataques, ni tiene conocimiento de que el malware se esté utilizando en ataques contra otros entornos.
Jeff Pollard, vicepresidente y analista principal de Forrester, dijo que la amenaza general a los dispositivos de borde no es una preocupación única, pero destaca el nivel de persistencia y sigilo.
«Esa combinación causa mucha fricción entre los defensores, quienes podrían creer que han solucionado el problema a pesar de que el implante permanece en el medio ambiente». Pollard dijo a Cybersecurity Dive. «Y dado que no se puede confiar en los datos de registro, es posible que no lo sepan».
Nota del editor: agrega comentarios de Forrester, comentarios adicionales de CISA.
Fuente