La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha arrojado luz sobre un nuevo malware llamado RESURGE Eso se ha implementado como parte de la actividad de explotación dirigida a una descompostura de seguridad ahora parchada en los electrodomésticos de Ivanti Connect Secure (ICS).
“Resurgir contiene capacidades de la reforma de malware Spawnchimera, incluidos los reiniciados sobrevivientes; sin requisa, Resurge contiene comandos distintivos que alteran su comportamiento”, dijo la agencia. “El archivo contiene capacidades de un RootKit, Dropper, Backdoor, Bootkit, Proxy y Tunneler”.
La vulnerabilidad de seguridad asociada con la implementación del malware es CVE-2025-0282, una vulnerabilidad de desbordamiento de búfer basada en la pila que afecta a las puertas de enlace seguras, seguras y ZTA de Ivanti Connect SEGUS, y ZTA que podrían dar oficio a una ejecución de código remoto.
Impacta las siguientes versiones –
- Ivanti Connect Secure antiguamente de la interpretación 22.7R2.5
- Política Ivanti segura antiguamente de la interpretación 22.7r1.2, y
- Neuronas Ivanti para puertas de enlace ZTA antiguamente de la interpretación 22.7R2.3
Según Mandiant, propiedad de Google, CVE-2025-0282 se ha armado para entregar lo que se flama el ecosistema de desove de malware, que comprende varios componentes, como el reproductivo, el aspirador y el aspirador. El uso de Spawn se ha atribuido a un comunidad de espionaje de China-Nexus denominado UNC5337.
El mes pasado, JPCERT/CC reveló que observó que el defecto de seguridad se utiliza para entregar una interpretación actualizada de Spawn conocida como SpawnChimera, que combina todos los módulos dispares mencionados en un malware monolítico, al tiempo que incorpora cambios para proveer la comunicación entre procesos a través de los salones de dominio Unix.
En particular, la reforma revisada albergó una característica para parchar CVE-2025-0282 para evitar que otros actores maliciosos lo exploten para sus campañas.
Resurge (“libsupgrade.so”), según CISA, es una prosperidad sobre Spawnchimera con apoyo para tres nuevos comandos –
- Inserte en “ld.so.preload”, configure un shell web, manipule las verificaciones de integridad y modifique los archivos
- Habilitar el uso de shells web para la monasterio de credenciales, la creación de cuentas, los reiniciados de la contraseña y la ascensión de privilegios
- Copie el shell web al disco de inicio de Ivanti y manipule la imagen de ejecución de CoreBoot
CISA dijo que incluso desenterró otros dos artefactos de un dispositivo ICS de la entidad de infraestructura crítica no especificada: una reforma de Spawnsloth (“Liblogblock.so”) contenida interiormente de resurge y un binario de Linux Elf de 64 bits de 64 bits (“DSMain”).
“La (reforma de Spawnsloth) manipula los registros de dispositivos Ivanti”, dijo. “El tercer archivo es un binario integrado personalizado que contiene un script de shell de código despejado y un subconjunto de applets de la útil de código despejado BusyBox. El script de shell de código despejado permite la capacidad de extraer una imagen de kernel sin comprimir (VMlinux) de una imagen de kernel comprometida”.
Vale la pena señalar que CVE-2025-0282 incluso ha sido explotado como un día cero por otro comunidad de amenazas vinculado a China rastreado como Typhoon de Silk (anteriormente Hafnium), reveló Microsoft a principios de este mes.
Los últimos hallazgos indican que los actores de amenaza detrás del malware están refinando y reelaborando activamente su Tradecraft, lo que hace que sea imperativo que las organizaciones parcen sus instancias IVanti a la última interpretación.
Como mitigación adicional, se recomienda restablecer las credenciales de las cuentas privilegiadas y no privilegiadas, rotar contraseñas para todos los usuarios de dominio y todas las cuentas locales, revisar las políticas de golpe para revocar temporalmente los privilegios de los dispositivos afectados, restablecer las credenciales de cuentas relevantes o las claves de golpe, y monitorear cuentas para obtener signos de actividad anómala.
