(https://i.imgur.com/z59Hh9x.png)
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) ha identificado un nuevo malware avanzado llamado RESURGE, utilizado en la explotación de una vulnerabilidad recientemente parcheada en Ivanti Connect Secure (ICS).
¿Qué es RESURGE y cómo afecta a Ivanti?RESURGE es una evolución de SPAWNCHIMERA, un malware previamente identificado, pero con nuevas capacidades que lo hacen aún más peligroso. Según CISA, RESURGE actúa como rootkit, dropper, puerta trasera, bootkit, proxy y tunelizador.
El malware aprovecha la vulnerabilidad CVE-2025-0282, un desbordamiento de búfer basado en pila que afecta a Ivanti Connect Secure, Policy Secure y ZTA Gateways, permitiendo la ejecución remota de código.
Las versiones vulnerables incluyen:- Ivanti Connect Secure antes de la versión 22.7R2.5
- Ivanti Policy Secure antes de la versión 22.7R1.2
- Ivanti Neurons para pasarelas ZTA anteriores a la versión 22.7R2.3
Conexión con el ecosistema de malware SPAWNInvestigaciones de Mandiant (Google) indican que la vulnerabilidad CVE-2025-0282 ha sido aprovechada para desplegar SPAWN, un ecosistema de malware que incluye variantes como SPAWNANT, SPAWNMOLE y SPAWNSNAIL. Se cree que este conjunto de herramientas está vinculado a UNC5337, un grupo de ciberespionaje asociado con China.
El mes pasado, JPCERT/CC informó que la vulnerabilidad había sido utilizada para propagar SPAWNCHIMERA, una versión más sofisticada del malware. Esta variante unifica los módulos previos e introduce mecanismos avanzados de comunicación a través de sockets de dominio UNIX.
Curiosamente, SPAWNCHIMERA también contenía un mecanismo para parchear CVE-2025-0282, evitando que otros atacantes explotaran la misma vulnerabilidad.
Nuevas capacidades de RESURGECISA ha identificado tres nuevos comandos en RESURGE que amplían su funcionalidad:
- Insertarse en "ld.so.preload", manipular archivos y configurar un web shell.
- Uso de web shells para capturar credenciales, crear cuentas, restablecer contraseñas y escalar privilegios.
- Copiar el web shell en el disco de arranque de Ivanti, manipulando la imagen de arranque.
Adicionalmente, CISA ha hallado otros dos artefactos en dispositivos ICS comprometidos:
- SPAWNSLOTH ("liblogblock.so"), que manipula registros del sistema.
- Un binario ELF de 64 bits personalizado ("dsmain"), que extrae una imagen del kernel comprometida.
Implicaciones y medidas de mitigaciónLa vulnerabilidad CVE-2025-0282 también ha sido explotada como día cero por otro grupo de amenazas vinculado a China, rastreado como Silk Typhoon (antes Hafnium), según Microsoft.
Ante estos hallazgos, se recomienda encarecidamente a las organizaciones actualizar sus dispositivos Ivanti a la última versión y tomar medidas adicionales de seguridad, como:
✅ Restablecer credenciales de cuentas con y sin privilegios.
✅ Rotar contraseñas de usuarios del dominio y cuentas locales.
✅ Revisar y modificar políticas de acceso para restringir privilegios en dispositivos afectados.
✅ Monitorear actividad inusual en cuentas y sistemas críticos.
El constante refinamiento de este malware indica que los atacantes están evolucionando sus tácticas, por lo que es esencial adoptar una estrategia proactiva de ciberseguridad y aplicar parches de seguridad de inmediato.
Fuente: https://thehackernews.com/