Los investigadores de ciberseguridad han revelado detalles de un nuevo malware llamado Mdifyloader Eso se ha observado pegado con los ataques cibernéticos que explotan fallas de seguridad en los electrodomésticos de Ivanti Connect Secure (ICS).
Según un mensaje publicado por JPCERT/CC Today, los actores de amenaza detrás de la explotación de CVE-2025-0282 y CVE-2025-22457 en intrusiones observadas entre diciembre de 2024 y julio de 2025 han armado las vulnerabilidades para exhalar MdifyLoader, que luego se usa para exhalar el leñazo de cobalto en la memoria.
CVE-2025-0282 es un defecto de seguridad crítico en los IC que podría permitir la ejecución de código remoto no autenticado. Fue abordado por Ivanti a principios de enero de 2025. CVE-2025-22457, parcheado en abril de 2025, se refiere a un desbordamiento del búfer basado en la pila que podría explotarse para ejecutar código injustificado.
Si acertadamente ambas vulnerabilidades se han armado en la naturaleza como días cero, los hallazgos anteriores de JPCERT/CC en abril han revelado que el primero de los dos problemas se ha abusado de ofrecer familias de malware como Spawnchimera y Dslogdrat.
El postrero investigación de los ataques que involucran vulnerabilidades de ICS han desenterrado el uso de técnicas de carga fronterizo de DLL para exhalar MdifyLoader que incluye una carga útil de Beacon Cobalt Strike Cobalt Strike. El Beacon ha sido identificado como la traducción 4.5, que se lanzó en diciembre de 2021.
“MdifyLoader es un cargador creado basado en el plan de código campechano libpeconv”, dijo el investigador de JPCERT/CC, Yuma Masubuchi. “MdifyLoader luego carga un archivo de datos enigmático, decoda Cobalt Strike Beacon y lo ejecuta en la memoria”.
Incluso se usa una útil de entrada remoto basada en GO llamamiento Vshell y otra utilidad de escaneo de red de código campechano escrita en GO llamamiento FSCAN. Vale la pena señalar que entreambos programas han sido adoptados por varios grupos de piratería chinos en los últimos meses.
 |
| El flujo de ejecución de FSCAN |
Se ha enemigo que FSCAN se ejecuta mediante un cargador, que, a su vez, se garrocha con la carga fronterizo de DLL. El cargador DLL Rogue se cimiento en la útil de código campechano FileNclessRemotepe.
“El Vshell usado tiene una función para demostrar si el jerigonza del sistema está configurado en chino”, dijo JPCERT/CC. “Los atacantes no pudieron ejecutar Vshell, y se confirmó que cada vez que habían instalado una nueva traducción e intentaron ejecución nuevamente. Este comportamiento sugiere que la función de comprobación de jerigonza, probablemente destinada a las pruebas internas, se quedó competente durante el despliegue”.
Al vencer un punto de apoyo en la red interna, se dice que los atacantes llevaron a agarradera ataques de fuerza bruta contra los servidores FTP, MS-SQL y SSH y aprovecharon el exploit de SMB EternalBlue (MS17-010) en un intento de extraer credenciales y avanzar luego a través de la red.
“Los atacantes crearon nuevas cuentas de dominio y las agregaron a los grupos existentes, lo que les permite retener el entrada incluso si se revocaron las credenciales previamente adquiridas”, dijo Masubuchi.
“Estas cuentas se combinan con operaciones normales, que permiten el entrada a prolongado plazo a la red interna. Por otra parte, los atacantes registraron su malware como un servicio o un programador de tareas para sostener la persistencia, asegurando que se ejecutara al inicio del sistema o en desencadenantes de eventos específicos”.
