La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha arrojado luz sobre un nuevo malware llamado RESURGE Eso se ha implementado como parte de la actividad de explotación dirigida a una falla de seguridad ahora parchada en los electrodomésticos de Ivanti Connect Secure (ICS).
«Resurgir contiene capacidades de la variante de malware Spawnchimera, incluidos los reiniciados sobrevivientes; sin embargo, Resurge contiene comandos distintivos que alteran su comportamiento», dijo la agencia. «El archivo contiene capacidades de un RootKit, Dropper, Backdoor, Bootkit, Proxy y Tunneler».
La vulnerabilidad de seguridad asociada con la implementación del malware es CVE-2025-0282, una vulnerabilidad de desbordamiento de búfer basada en la pila que afecta a las puertas de enlace seguras, seguras y ZTA de Ivanti Connect SEGUS, y ZTA que podrían dar lugar a una ejecución de código remoto.
Impacta las siguientes versiones –
- Ivanti Connect Secure antes de la versión 22.7R2.5
- Política Ivanti segura antes de la versión 22.7r1.2, y
- Neuronas Ivanti para puertas de enlace ZTA antes de la versión 22.7R2.3
Según Mandiant, propiedad de Google, CVE-2025-0282 se ha armado para entregar lo que se llama el ecosistema de desove de malware, que comprende varios componentes, como el reproductivo, el aspirador y el aspirador. El uso de Spawn se ha atribuido a un grupo de espionaje de China-Nexus denominado UNC5337.
El mes pasado, JPCERT/CC reveló que observó que el defecto de seguridad se utiliza para entregar una versión actualizada de Spawn conocida como SpawnChimera, que combina todos los módulos dispares mencionados en un malware monolítico, al tiempo que incorpora cambios para facilitar la comunicación entre procesos a través de los salones de dominio Unix.
En particular, la variante revisada albergó una característica para parchar CVE-2025-0282 para evitar que otros actores maliciosos lo exploten para sus campañas.
Resurge («libsupgrade.so»), según CISA, es una mejora sobre Spawnchimera con apoyo para tres nuevos comandos –
- Inserte en «ld.so.preload», configure un shell web, manipule las verificaciones de integridad y modifique los archivos
- Habilitar el uso de shells web para la recolección de credenciales, la creación de cuentas, los reiniciados de la contraseña y la escalada de privilegios
- Copie el shell web al disco de arranque de Ivanti y manipule la imagen de ejecución de CoreBoot
CISA dijo que también desenterró otros dos artefactos de un dispositivo ICS de la entidad de infraestructura crítica no especificada: una variante de Spawnsloth («Liblogblock.so») contenida dentro de resurge y un binario de Linux Elf de 64 bits de 64 bits («DSMain»).
«La (variante de Spawnsloth) manipulan los registros de dispositivos Ivanti», dijo. «El tercer archivo es un binario integrado personalizado que contiene un script de shell de código abierto y un subconjunto de applets de la herramienta de código abierto BusyBox. El script de shell de código abierto permite la capacidad de extraer una imagen de kernel sin comprimir (VMlinux) de una imagen de kernel comprometida».
Vale la pena señalar que CVE-2025-0282 también ha sido explotado como un día cero por otro grupo de amenazas vinculado a China rastreado como Typhoon de Silk (anteriormente Hafnium), reveló Microsoft a principios de este mes.
Los últimos hallazgos indican que los actores de amenaza detrás del malware están refinando y reelaborando activamente su Tradecraft, lo que hace que sea imperativo que las organizaciones parcen sus instancias IVanti a la última versión.
Como mitigación adicional, se recomienda restablecer las credenciales de las cuentas privilegiadas y no privilegiadas, rotar contraseñas para todos los usuarios de dominio y todas las cuentas locales, revisar las políticas de acceso para revocar temporalmente los privilegios de los dispositivos afectados, restablecer las credenciales de cuentas relevantes o las claves de acceso, y monitorear cuentas para obtener signos de actividad anómala.