Los investigadores de seguridad cibern\u00e9tica advierten sobre un nuevo malware llamado DSLOGDRAT que est\u00e1 instalado despu\u00e9s de la explotaci\u00f3n de una falla de seguridad ahora parchada en Ivanti Connect Secure (ICS).<\/p>\n
El malware, junto con un shell web, se “instal\u00f3 explotando una vulnerabilidad de d\u00eda cero en ese momento, CVE-2025-0282, durante los ataques contra las organizaciones en Jap\u00f3n alrededor de diciembre de 2024”, el investigador de JPCERT\/CC Yuma Masubuchi dicho<\/a> en un informe publicado el jueves.<\/p>\n CVE-2025-0282 se refiere a una falla de seguridad cr\u00edtica en ICS que podr\u00eda permitir la ejecuci\u00f3n del c\u00f3digo remoto no autenticado. Fue abordado por Ivanti a principios de enero de 2025.<\/p>\n Sin embargo, la deficiencia ha sido explotada como un d\u00eda cero por un grupo de espionaje cibern\u00e9tico de China-Nexus denominado UNC5337 para administrar el ecosistema de desove de malware, as\u00ed como otras herramientas como Dryhook y PhaseJam. El despliegue de las dos \u00faltimas cepas de malware no se ha atribuido a ning\u00fan actor de amenaza conocido.<\/p>\n Desde entonces, tanto JPCERT\/CC como la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) han revelado la explotaci\u00f3n de la misma vulnerabilidad para ofrecer versiones actualizadas de Spawn SpawnChimera y Resurgar.<\/p>\n A principios de este mes, Mandiant, propiedad de Google, tambi\u00e9n revel\u00f3 que otro defecto de seguridad en ICS (CVE-2025-22457) ha sido armado para distribuir Spawn, un malware atribuido a otro grupo de pirater\u00eda chino conocido como UNC5221.<\/p>\n JPCERT\/CC dijo que actualmente no est\u00e1 claro si los ataques que usan DSLOGDRAT son parte de la misma campa\u00f1a que involucra a la familia de malware de desove operada por UNC5221.<\/p>\n La secuencia de ataque descrita por la agencia implica la explotaci\u00f3n de CVE-2025-0282 para implementar un shell web de Perl, que luego sirve como un conducto para implementar cargas \u00fatiles adicionales, incluida DSLOGDRAT.<\/p>\n Dslogdrat, por su parte, inicia el contacto con un servidor externo a trav\u00e9s de una conexi\u00f3n de socket para enviar informaci\u00f3n b\u00e1sica del sistema y espera m\u00e1s instrucciones que le permitan ejecutar comandos de shell, cargar\/descargar archivos, y usar el host infectado como proxy.<\/p>\n La divulgaci\u00f3n se produce como la firma de inteligencia de amenazas Greynoise prevenido<\/a> de un “pico 9x en la actividad de escaneo sospechoso” dirigido a ICS y electrodom\u00e9sticos de pulso Ivanti (IPS) de m\u00e1s de 270 direcciones IP \u00fanicas<\/a> En las \u00faltimas 24 horas o m\u00e1s 1,000 direcciones IP \u00fanicas<\/a> En los \u00faltimos 90 d\u00edas.<\/p>\n De estas 255 direcciones IP se han clasificado como maliciosas y 643 han sido marcadas como sospechosas. Las IP maliciosas se han observado utilizando nodos de salida de TOR y los IP sospechosos est\u00e1n vinculados a proveedores de alojamiento menos conocidos. Estados Unidos, Alemania y los Pa\u00edses Bajos representan los tres principales pa\u00edses de origen.<\/p>\n “Este aumento puede indicar un reconocimiento coordinado y una posible preparaci\u00f3n para la explotaci\u00f3n futura”, dijo la compa\u00f1\u00eda. “Si bien a\u00fan no se han vinculado a esta actividad de escaneo, los picos como este a menudo preceden a la explotaci\u00f3n activa”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/DSLOGDRAT-malware-desplegado-a-traves-de-Ivant-ICS-CVE-Day-CVE-2025-0282.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n