La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) ha descubierto una nueva variante de malware denominada RESURGE, que ataca los dispositivos Ivanti Connect Secure mediante una vulnerabilidad crítica.

El malware aprovecha una falla de desbordamiento de búfer basada en pila, CVE-2025-0282, para crear shells web, manipular archivos del sistema y sobrevivir a los reinicios del sistema.

El análisis de CISA reveló que RESURGE comparte funcionalidad con el malware SPAWNCHIMERA, pero introduce comandos únicos para mejorar su sigilo y persistencia.

Las capacidades de RESURGE incluyen la incrustación de shells web para la recolección de credenciales, la modificación de imágenes de coreboot para mantener el acceso y la evasión de las comprobaciones de integridad.

El malware se inyecta en procesos legítimos, creando túneles SSH para la comunicación de comando y control (C2). También copia componentes maliciosos al disco de arranque de Ivanti, lo que garantiza la persistencia incluso después de reinicios.

CISA observó la capacidad de RESURGE para ejecutar comandos arbitrarios, incluyendo el restablecimiento de contraseñas y la escalada de privilegios.

El malware se encontró junto con una variante de la herramienta de manipulación de registros SPAWNSLOTH y un binario personalizado «dsmain», que incorpora utilidades de BusyBox. dsmain permite a los atacantes descifrar y reempaquetar imágenes de coreboot, incrustando cargas útiles maliciosas. El análisis también identificó el uso por parte de RESURGE de herramientas de código abierto como extract_vmlinux.sh para modificar imágenes del kernel, lo que dificulta aún más su detección.

La vulnerabilidad CVE-2025-0282 se añadió al Catálogo de Vulnerabilidades Explotadas Conocidas de CISA el 8 de enero de 2025 y afecta a Ivanti Connect Secure, Policy Secure y ZTA Gateways. Los atacantes explotan esta falla para obtener acceso inicial, tras lo cual RESURGE implementa su conjunto completo de herramientas.

CISA insta a tomar medidas inmediatas y recomienda:

• Restablecer los valores de fábrica de los dispositivos comprometidos, utilizando imágenes limpias para los sistemas en la nube.
• Restablecer las credenciales de todas las cuentas, incluida la cuenta krbtgt (responsable de gestionar las solicitudes de tickets de Kerberos, cifrarlas y firmarlas) dos veces, con retrasos en la replicación.
  Revocar o reducir temporalmente los privilegios de los dispositivos afectados para contener las brechas.
• Supervisar las cuentas administrativas para detectar actividad no autorizada.

La agencia también proporcionó las reglas de detección de YARA y SIGMA, junto con un informe detallado de análisis de malware (MAR-25993211.R1.V1.CLEAR).

Se ofrecen directrices adicionales que incluyen la desactivación de servicios innecesarios, el uso de contraseñas seguras y el análisis de medios extraíbles.

CISA hizo hincapié en el conocimiento de la situación ante amenazas en evolución, haciendo referencia a los estándares de gestión de incidentes de malware del NIST para una mayor preparación organizacional.

Se indica a los usuarios que informen de incidentes a través del Centro de Operaciones de CISA o que envíen muestras de malware a Malware Nextgen.