Los investigadores de seguridad cibernética advierten sobre un nuevo malware llamado DSLOGDRAT que está instalado posteriormente de la explotación de una descompostura de seguridad ahora parchada en Ivanti Connect Secure (ICS).
El malware, próximo con un shell web, se “instaló explotando una vulnerabilidad de día cero en ese momento, dijo el investigador de JPCERT/CC, Yuma Masubuchi, durante un noticia publicado el jueves.
CVE-2025-0282 se refiere a una descompostura de seguridad crítica en ICS que podría permitir la ejecución del código remoto no autenticado. Fue abordado por Ivanti a principios de enero de 2025.
Sin secuestro, la deficiencia ha sido explotada como un día cero por un agrupación de espionaje cibernético de China-Nexus denominado UNC5337 para cuidar el ecosistema de desove de malware, así como otras herramientas como Dryhook y PhaseJam. El despliegue de las dos últimas cepas de malware no se ha atribuido a ningún actor de amenaza conocido.
Desde entonces, tanto JPCERT/CC como la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) han revelado la explotación de la misma vulnerabilidad para ofrecer versiones actualizadas de Spawn SpawnChimera y Resurgar.
A principios de este mes, Mandiant, propiedad de Google, todavía reveló que otro defecto de seguridad en ICS (CVE-2025-22457) ha sido armado para distribuir Spawn, un malware atribuido a otro agrupación de piratería chino conocido como UNC5221.
JPCERT/CC dijo que actualmente no está claro si los ataques que usan DSLOGDRAT son parte de la misma campaña que involucra a la tribu de malware de desove operada por UNC5221.
La secuencia de ataque descrita por la agencia implica la explotación de CVE-2025-0282 para implementar un shell web de Perl, que luego sirve como un conducto para implementar cargas efectos adicionales, incluida DSLOGDRAT.
Dslogdrat, por su parte, inicia el contacto con un servidor foráneo a través de una conexión de socket para despachar información básica del sistema y aplazamiento más instrucciones que le permitan ejecutar comandos de shell, cargar/descargar archivos, y usar el host infectado como proxy.
La divulgación se produce cuando la firma de inteligencia de amenazas Greynoise advirtió sobre un “pico 9X en la actividad de escaneo sospechoso” dirigido a los electrodomésticos y los electrodomésticos de Ivanti Pulse Secure (IPS) de más de 270 direcciones IP únicas en las últimas 24 horas y más de 1,000 direcciones IP únicas en los últimos 90 días.
De estas 255 direcciones IP se han clasificado como maliciosas y 643 han sido marcadas como sospechosas. Las IP maliciosas se han observado utilizando nodos de salida de TOR y los IP sospechosos están vinculados a proveedores de alojamiento menos conocidos. Estados Unidos, Alemania y los Países Bajos representan los tres principales países de origen.
“Este aumento puede indicar un gratitud coordinado y una posible preparación para la explotación futura”, dijo la compañía. “Si proporcionadamente aún no se han vinculado a esta actividad de escaneo, los picos como este a menudo preceden a la explotación activa”.
