Los investigadores de seguridad cibernética advierten sobre un nuevo malware llamado DSLOGDRAT que está instalado después de la explotación de una falla de seguridad ahora parchada en Ivanti Connect Secure (ICS).
El malware, junto con un shell web, se «instaló explotando una vulnerabilidad de día cero en ese momento, CVE-2025-0282, durante los ataques contra las organizaciones en Japón alrededor de diciembre de 2024», el investigador de JPCERT/CC Yuma Masubuchi dicho en un informe publicado el jueves.
CVE-2025-0282 se refiere a una falla de seguridad crítica en los IC que podrían permitir la ejecución de código remoto no autenticado. Fue abordado por Ivanti a principios de enero de 2025.
Sin embargo, la deficiencia ha sido explotada como un día cero por un grupo de espionaje cibernético de China-Nexus denominado UNC5337 para administrar el ecosistema de desove de malware, así como otras herramientas como Dryhook y PhaseJam. El despliegue de las dos últimas cepas de malware no se ha atribuido a ningún actor de amenaza conocido.
Desde entonces, tanto JPCERT/CC como la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) han revelado la explotación de la misma vulnerabilidad para ofrecer versiones actualizadas de Spawn llamadas Spawnchimer y RESURGE.
A principios de este mes, Mandiant, propiedad de Google, también reveló que otro defecto de seguridad en ICS (CVE-2025-22457) ha sido armado para distribuir Spawn, un malware atribuido a otro grupo de piratería chino conocido como UNC5221.
JPCERT/CC dijo que actualmente no está claro si los ataques que usan DSLOGDRAT son parte de la misma campaña que involucra a la familia de malware de desove operada por UNC5221.
La secuencia de ataque descrita por la agencia implica la explotación de CVE-2025-0282 para implementar un shell web de Perl, que luego sirve como un conducto para implementar cargas útiles adicionales, incluida DSLOGDRAT.
Dslogdrat, por su parte, inicia el contacto con un servidor externo a través de una conexión de socket para enviar información básica del sistema y espera más instrucciones que le permitan ejecutar comandos de shell, cargar/descargar archivos, y usar el host infectado como proxy.
La divulgación se produce como la firma de inteligencia de amenazas Greynoise prevenido de un «pico 9x en la actividad de escaneo sospechoso» dirigido a ICS y electrodomésticos de pulso Ivanti (IPS) de más de 270 direcciones IP únicas En las últimas 24 horas o más 1,000 direcciones IP únicas En los últimos 90 días.
De estas 255 direcciones IP se han clasificado como maliciosas y 643 han sido marcadas como sospechosas. Las IP maliciosas se han observado utilizando nodos de salida de TOR y los IP sospechosos están vinculados a proveedores de alojamiento menos conocidos. Estados Unidos, Alemania y los Países Bajos representan los tres principales países de origen.
«Este aumento puede indicar un reconocimiento coordinado y una posible preparación para la explotación futura», dijo la compañía. «Si bien aún no se han vinculado a esta actividad de escaneo, los picos como este a menudo preceden a la explotación activa».
