La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha emitido una advertencia crucial sobre RESURGE, un implante malicioso utilizado en ataques de día cero que explotan la vulnerabilidad CVE-2025-0282 para comprometer dispositivos Ivanti Connect Secure.
La nueva información se centra en la capacidad del implante para permanecer latente y pasar desapercibido en los sistemas, utilizando técnicas sofisticadas de evasión y autenticación a nivel de red para establecer una comunicación encubierta con los atacantes.
CISA documentó originalmente el malware el 28 de marzo del año pasado, señalando que RESURGE puede sobrevivir a reinicios, crear webshells para el robo de credenciales, generar cuentas de usuario, modificar contraseñas y escalar privilegios dentro del sistema comprometido.
Investigadores de Mandiant atribuyen la explotación de la vulnerabilidad CVE-2025-0282 como día cero desde mediados de diciembre de 2024 a un actor de amenazas vinculado a China, identificado internamente como UNC5221.
Evasión a Nivel de Red: Un Peligro Latente
El informe actualizado de CISA proporciona detalles técnicos adicionales sobre RESURGE. Este implante, un archivo Linux Shared Object de 32 bits denominado libdsupgrade.so, se extrajo de un dispositivo comprometido.
Se describe como un implante pasivo de comando y control (C2) con capacidades de rootkit, bootkit, backdoor, dropper, proxy y tunneling. En lugar de contactar activamente a un servidor C2, RESURGE espera de forma indefinida una conexión TLS entrante específica, evadiendo así la monitorización de red estándar, según CISA.
Al cargarse dentro del proceso ‘web’, el implante intercepta la función ‘accept()’ para examinar los paquetes TLS entrantes antes de que lleguen al servidor web. Busca conexiones específicas de un atacante remoto, identificadas mediante el esquema de hash de huellas digitales TLS CRC32.
Si la huella digital no coincide, el tráfico se dirige al servidor legítimo de Ivanti. CISA detalla que el actor de amenazas utiliza un certificado falso de Ivanti para asegurar la comunicación con el implante y no con el servidor web legítimo. Este certificado falso, aunque no se usa para cifrar la comunicación, sirve como mecanismo de autenticación y verificación, además de ayudar a evadir la detección al hacerse pasar por el servidor real.
Dado que el certificado falsificado se envía sin cifrar, CISA sugiere que los defensores pueden usarlo como una firma de red para detectar una intrusión activa. Una vez validada la huella digital y autenticada la conexión con el malware, el actor establece un acceso remoto seguro utilizando una sesión Mutual TLS cifrada con el protocolo Elliptic Curve.
«El análisis estático indica que el implante RESURGE solicitará la clave EC de los actores remotos para utilizarla en el cifrado, y también la verificará con una clave de Certificado de Autoridad (CA) EC codificada», afirma CISA. Al imitar el tráfico TLS/SSH legítimo, el implante logra sigilo y persistencia.
Otro archivo analizado es una variante del malware SpawnSloth, con el nombre liblogblock.so, contenido dentro del implante RESURGE. Su propósito principal es la manipulación de registros (logs) para ocultar la actividad maliciosa en los dispositivos comprometidos.
Un tercer archivo analizado es dsmain, un script de extracción del kernel que incrusta el script de código abierto ‘extract_vmlinux.sh’ y la colección de utilidades Unix/Linux BusyBox. Este script permite a RESURGE descifrar, modificar y volver a cifrar imágenes de firmware coreboot, además de manipular el sistema de archivos para lograr persistencia a nivel de arranque.
liblogblock.so - 3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104 libdsupgrade.so - 52bbc44eb451cb5e16bf98bc5b1823d2f47a18d71f14543b460395a1c1b1aeda dsmain - b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d
«El análisis actualizado de CISA demuestra que RESURGE puede permanecer latente en los sistemas hasta que un actor remoto intente conectarse al dispositivo comprometido», señala la agencia. Debido a esto, el implante malicioso «puede estar inactivo y sin detectar en los dispositivos Ivanti Connect Secure, representando una amenaza activa».
CISA recomienda a los administradores de sistemas utilizar los indicadores de compromiso (IoCs) actualizados para detectar infecciones dormantess de RESURGE y eliminarlas de los dispositivos Ivanti.
Proteger tus dispositivos de este tipo de amenazas es fundamental. En NK, ofrecemos soluciones de seguridad robustas como Firewalls y Antivirus de última generación, además de servicios de Consultoría tecnológica para ayudarte a identificar y mitigar vulnerabilidades. Si buscas fortalecer la seguridad de tu infraestructura, ¡no dudes en contactarnos Contáctanos! Estamos aquí para ayudarte a mantener tus sistemas seguros y protegidos.
