Pesquisadores de cibersegurança estão alertando sobre um novo malware chamado DslogdRAT, instalado após a exploração de uma falha de segurança agora corrigida no Ivanti Connect Secure (ICS).
O malware, junto com uma web shell, foram "instalados explorando uma vulnerabilidade zero-day naquela época,
CVE-2025-0282
, durante ataques contra organizações no Japão por volta de dezembro de 2024", disse o pesquisador da JPCERT/CC, Yuma Masubuchi, em um relatório publicado na quinta-feira.
CVE-2025-0282
refere-se a uma falha crítica de segurança no ICS que poderia permitir a execução remota de código não autenticado.
Foi resolvida pela Ivanti no início de janeiro de 2025.
No entanto, a falha foi explorada como uma vulnerabilidade zero-day por um grupo de ciberespionagem com nexos na China chamado UNC5337 para entregar o ecossistema de malware SPAWN, bem como outras ferramentas como DRYHOOK e PHASEJAM.
A implementação das últimas duas cepas de malware não foi atribuída a nenhum agente de ameaças conhecido.
Desde então, tanto a JPCERT/CC quanto a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) revelaram a exploração da mesma vulnerabilidade para entregar versões atualizadas do SPAWN chamadas SPAWNCHIMERA e RESURGE.
No início deste mês, a Mandiant, propriedade do Google, também revelou que outra falha de segurança no ICS (
CVE-2025-22457
) foi armada para distribuir SPAWN, um malware atribuído a outro grupo de hackers chineses referido como UNC5221.
A JPCERT/CC disse que atualmente não está claro se os ataques usando DslogdRAT fazem parte da mesma campanha envolvendo a família de malware SPAWN operada pelo UNC5221.
A sequência de ataques delineada pela agência envolve a exploração da
CVE-2025-0282
para implantar uma web shell Perl, que serve como um meio para implantar payloads adicionais, incluindo DslogdRAT.
O DslogdRAT, por sua vez, inicia contato com um servidor externo por meio de uma conexão de socket para enviar informações básicas do sistema e aguarda instruções adicionais que permitam executar comandos shell, fazer upload/download de arquivos e usar o host infectado como um proxy.
A divulgação ocorre enquanto a companhia de inteligência de ameaças GreyNoise alertou sobre um "aumento de 9X na atividade de varredura suspeita" direcionada a aparelhos ICS e Ivanti Pulse Secure (IPS) de mais de 270 endereços IP únicos nas últimas 24 horas e mais de 1.000 endereços IP únicos nos últimos 90 dias.
Desses, 255 endereços IP foram classificados como maliciosos e 643 foram marcados como suspeitos.
Os IPs maliciosos foram observados usando nós de saída TOR e IPs suspeitos estão ligados a provedores de hospedagem menos conhecidos.
Os Estados Unidos, Alemanha e Países Baixos representam os três principais países de origem.
"Este aumento pode indicar reconhecimento coordenado e possível preparação para futuras explorações", disse a companhia.
Embora nenhum CVE específico tenha sido associado a essa atividade de varredura até agora, picos como esse frequentemente precedem a exploração ativa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...