Los investigadores de ciberseguridad han revelado detalles de un nuevo malware llamado Mdifyloader Eso se ha observado anejo con los ataques cibernéticos que explotan fallas de seguridad en los electrodomésticos de Ivanti Connect Secure (ICS).
Según un noticia publicado por JPCERT/CC Today, los actores de amenaza detrás de la explotación de CVE-2025-0282 y CVE-2025-22457 en intrusiones observadas entre diciembre de 2024 y julio de 2025 han armado las vulnerabilidades para editar MdifyLoader, que luego se usa para editar el topetazo de cobalto en la memoria.
CVE-2025-0282 es un defecto de seguridad crítico en los IC que podría permitir la ejecución de código remoto no autenticado. Fue abordado por Ivanti a principios de enero de 2025. CVE-2025-22457, parcheado en abril de 2025, se refiere a un desbordamiento del búfer basado en la pila que podría explotarse para ejecutar código despótico.
Si adecuadamente ambas vulnerabilidades se han armado en la naturaleza como días cero, los hallazgos anteriores de JPCERT/CC en abril han revelado que el primero de los dos problemas se ha abusado de ofrecer familias de malware como Spawnchimera y Dslogdrat.
El posterior examen de los ataques que involucran vulnerabilidades de ICS han desenterrado el uso de técnicas de carga pegado de DLL para editar MdifyLoader que incluye una carga útil de Beacon Cobalt Strike Cobalt Strike. El Beacon ha sido identificado como la lectura 4.5, que se lanzó en diciembre de 2021.
«MdifyLoader es un cargador creado basado en el tesina de código campechano libpeconv», dijo el investigador de JPCERT/CC, Yuma Masubuchi. «MdifyLoader luego carga un archivo de datos enigmático, decoda Cobalt Strike Beacon y lo ejecuta en la memoria».
Asimismo se usa una utensilio de entrada remoto basada en GO llamamiento Vshell y otra utilidad de escaneo de red de código campechano escrita en GO llamamiento FSCAN. Vale la pena señalar que entreambos programas han sido adoptados por varios grupos de piratería chinos en los últimos meses.
 |
| El flujo de ejecución de FSCAN |
Se ha antitético que FSCAN se ejecuta mediante un cargador, que, a su vez, se bichero con la carga pegado de DLL. El cargador DLL Rogue se friso en la utensilio de código campechano FileNclessRemotepe.
«El Vshell usado tiene una función para demostrar si el jerigonza del sistema está configurado en chino», dijo JPCERT/CC. «Los atacantes no pudieron ejecutar Vshell, y se confirmó que cada vez que habían instalado una nueva lectura e intentaron ejecución nuevamente. Este comportamiento sugiere que la función de comprobación de jerigonza, probablemente destinada a las pruebas internas, se quedó adaptado durante el despliegue».
Al ingresar un punto de apoyo en la red interna, se dice que los atacantes llevaron a extremo ataques de fuerza bruta contra los servidores FTP, MS-SQL y SSH y aprovecharon el exploit de SMB EternalBlue (MS17-010) en un intento de extraer credenciales y avanzar después a través de la red.
«Los atacantes crearon nuevas cuentas de dominio y las agregaron a los grupos existentes, lo que les permite retener el entrada incluso si se revocaron las credenciales previamente adquiridas», dijo Masubuchi.
«Estas cuentas se combinan con operaciones normales, que permiten el entrada a prolongado plazo a la red interna. Encima, los atacantes registraron su malware como un servicio o un programador de tareas para suministrar la persistencia, asegurando que se ejecutara al inicio del sistema o en desencadenantes de eventos específicos».
