CISA ja havia advertit anteriorment sobre atacs que explotaven una vulnerabilitat d’Ivanti Connect Secure.

L’Agència de Ciberseguretat i Seguretat d’Infraestructures dijous va advertir que una variant de programari maliciós utilitzat anteriorment en atacs contra entorns Ivanti Connect Secure poden passar desapercebuts als sistemes.

El març de 2025, la CISA va emetre una alerta sobre el programari maliciós, anomenat Resurge, en relació amb l’explotació de CVE-2025-0282, una vulnerabilitat de desbordament de memòria intermèdia basada en monticle en certes versions d’Ivanti Connect Secure i altres productes d’Ivanti.

Des d’aleshores, l’agència ha analitzat tres mostres del dispositiu Ivanti Connect Secure d’un proveïdor d’infraestructures crítiques després que els pirates informàtics explotessin la fallada per obtenir-hi accés inicial. L’anàlisi mostra que Resurge pot romandre latent en un dispositiu fins que un pirata informàtic remot intenti contactar-hi.

Com a resultat, la CISA insta els equips de seguretat a comprovar si hi ha possibles compromisos, ja que es tem que no s’hagin detectat a escala més alta.

El gener de 2025, investigadors de Mandiant van identificar un actor d’amenaces amb nexe amb la Xina que explotava CVE-2025-0282. Aquest grup va ser rastrejat com a UNC5337. Els investigadors sospiten que el grup tenia vincles amb UNC5221, que estava associat amb l’explotació de vulnerabilitats d’Ivanti el 2024.

El primer dels tres fitxers, que s’anomena Resurge, té funcions similars a un programari maliciós anomenat Spawnchimera, segons la CISA. Es crea un túnel Secure Shell per a finalitats de comandament i control. L’anàlisi del 2025 va mostrar que Resurge inclou comandaments que permeten la modificació de fitxers, la manipulació de la comprovació d’integritat i la creació de shells web que es copien a un disc d’arrencada d’Ivanti, segons l’avís de la CISA.

El segon fitxer és una variant de Spawnsloth, que manipula els registres dels dispositius Ivanti. El tercer fitxer és un binari que conté un script de shell i un subconjunt d’applets d’una eina de codi obert anomenada BusyBox. Segons la CISA, els pirates informàtics poden explotar l’eina per descarregar i executar càrregues útils en un dispositiu compromès.

El programari maliciós pot romandre sense ser detectat en un sistema fins que un actor amenaçador iniciï una connexió amb el dispositiu compromès, va dir un portaveu de la CISA a Cybersecurity Dive.

La CISA no té constància d’altres CVE que s’estiguin explotant en aquests atacs, ni tampoc té constància que el programari maliciós s’utilitzi en atacs contra altres entorns.

Jeff Pollard, vicepresident i analista principal de Forrester, va dir que l’amenaça general als dispositius perifèrics no és una preocupació única, però destaca el nivell de persistència i sigil.

«Aquesta combinació causa molta fricció als defensors, que podrien creure que han solucionat el problema tot i que l’implant roman a l’entorn», va dir Pollard a Cybersecurity Dive. «I com que no es pot confiar en les dades de registre, potser no ho saben».