Los investigadores de seguridad cibernética advierten sobre un nuevo malware llamado DSLOGDRAT que está instalado posteriormente de la explotación de una rotura de seguridad ahora parchada en Ivanti Connect Secure (ICS).
El malware, contiguo con un shell web, se «instaló explotando una vulnerabilidad de día cero en ese momento, dijo el investigador de JPCERT/CC, Yuma Masubuchi, durante un mensaje publicado el jueves.
CVE-2025-0282 se refiere a una rotura de seguridad crítica en ICS que podría permitir la ejecución del código remoto no autenticado. Fue abordado por Ivanti a principios de enero de 2025.
Sin retención, la deficiencia ha sido explotada como un día cero por un conjunto de espionaje cibernético de China-Nexus denominado UNC5337 para establecer el ecosistema de desove de malware, así como otras herramientas como Dryhook y PhaseJam. El despliegue de las dos últimas cepas de malware no se ha atribuido a ningún actor de amenaza conocido.
Desde entonces, tanto JPCERT/CC como la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) han revelado la explotación de la misma vulnerabilidad para ofrecer versiones actualizadas de Spawn SpawnChimera y Resurgar.
A principios de este mes, Mandiant, propiedad de Google, asimismo reveló que otro defecto de seguridad en ICS (CVE-2025-22457) ha sido armado para distribuir Spawn, un malware atribuido a otro conjunto de piratería chino conocido como UNC5221.
JPCERT/CC dijo que actualmente no está claro si los ataques que usan DSLOGDRAT son parte de la misma campaña que involucra a la clan de malware de desove operada por UNC5221.
La secuencia de ataque descrita por la agencia implica la explotación de CVE-2025-0282 para implementar un shell web de Perl, que luego sirve como un conducto para implementar cargas efectos adicionales, incluida DSLOGDRAT.
Dslogdrat, por su parte, inicia el contacto con un servidor forastero a través de una conexión de socket para despachar información básica del sistema y prórroga más instrucciones que le permitan ejecutar comandos de shell, cargar/descargar archivos, y usar el host infectado como proxy.
La divulgación se produce cuando la firma de inteligencia de amenazas Greynoise advirtió sobre un «pico 9X en la actividad de escaneo sospechoso» dirigido a los electrodomésticos y los electrodomésticos de Ivanti Pulse Secure (IPS) de más de 270 direcciones IP únicas en las últimas 24 horas y más de 1,000 direcciones IP únicas en los últimos 90 días.
De estas 255 direcciones IP se han clasificado como maliciosas y 643 han sido marcadas como sospechosas. Las IP maliciosas se han observado utilizando nodos de salida de TOR y los IP sospechosos están vinculados a proveedores de alojamiento menos conocidos. Estados Unidos, Alemania y los Países Bajos representan los tres principales países de origen.
«Este aumento puede indicar un gratitud coordinado y una posible preparación para la explotación futura», dijo la compañía. «Si acertadamente aún no se han vinculado a esta actividad de escaneo, los picos como este a menudo preceden a la explotación activa».
