Ciberseguridad 360 | Malware DslogdRAT implementado a través de Ivanti ICS Zero-Day CVE-2025-0282 en ataques en Japón

Los investigadores de ciberseguridad advierten sobre un nuevo malware llamado DslogdRAT que se instala tras la explotaci�n de una falla de seguridad ahora parcheada en Ivanti Connect Secure (ICS).

El malware, junto con un shell web, se "instal� explotando una vulnerabilidad de d�a cero en ese momento, CVE-2025-0282, durante ataques contra organizaciones en Jap�n alrededor de diciembre de 2024", dijo el investigador de JPCERT/CC Yuma Masubuchi en un informe publicado el jueves.

CVE-2025-0282 se refiere a una falla cr�tica de seguridad en ICS que podr�a permitir la ejecuci�n remota de c�digo no autenticado. Ivanti la solucion� a principios de enero de 2025.

Sin embargo, esta deficiencia ha sido explotada como un ataque de d�a cero por un grupo de ciberespionaje con v�nculos con China, denominado UNC5337, para distribuir el ecosistema de malware SPAWN, as� como otras herramientas como DRYHOOK y PHASEJAM. La distribuci�n de estas dos �ltimas cepas de malware no se ha atribuido a ning�n actor de amenazas conocido.

Desde entonces, tanto JPCERT/CC como la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) han revelado la explotaci�n de la misma vulnerabilidad para distribuir versiones actualizadas de SPAWN llamadas SPAWNCHIMERA y RESURGE .

A principios de este mes, Mandiant, propiedad de Google, tambi�n revel� que otra falla de seguridad en ICS (CVE-2025-22457) se ha utilizado para distribuir SPAWN, un malware atribuido a otro grupo de piratas inform�ticos chino conocido como UNC5221.

JPCERT/CC dijo que actualmente no est� claro si los ataques que utilizan DslogdRAT son parte de la misma campa�a que involucra a la familia de malware SPAWN operada por UNC5221.

La secuencia de ataque descrita por la agencia implica la explotaci�n de CVE-2025-0282 para implementar un shell web Perl, que luego sirve como conducto para implementar cargas �tiles adicionales, incluido DslogdRAT.

DslogdRAT, por su parte, inicia contacto con un servidor externo a trav�s de una conexi�n de socket para enviar informaci�n b�sica del sistema y espera m�s instrucciones que le permitan ejecutar comandos de shell, cargar/descargar archivos y utilizar el host infectado como proxy.

La revelaci�n se produce cuando la empresa de inteligencia de amenazas GreyNoise advirti� sobre un "aumento de 9 veces en la actividad de escaneo sospechosa" dirigida a dispositivos ICS e Ivanti Pulse Secure (IPS) desde m�s de 270 direcciones IP �nicas en las �ltimas 24 horas y m�s de 1000 direcciones IP �nicas en los �ltimos 90 d�as.

De estas, 255 direcciones IP se clasificaron como maliciosas y 643 como sospechosas. Se observ� que las IP maliciosas utilizaban nodos de salida de TOR, mientras que las IP sospechosas estaban vinculadas a proveedores de alojamiento menos conocidos. Estados Unidos, Alemania y los Pa�ses Bajos son los tres principales pa�ses de origen.

"Este aumento repentino podr�a indicar un reconocimiento coordinado y una posible preparaci�n para una futura explotaci�n", declar� la compa��a. "Si bien a�n no se han vinculado CVE espec�ficos a esta actividad de escaneo, picos como este suelen preceder a la explotaci�n activa".

Fuente: TheHackerNews.