L’Agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) a mis en lumière un nouveau malware appelé Refaire Cela a été déployé dans le cadre de l’activité d’exploitation ciblant une faille de sécurité maintenant paralysée dans les appareils Ivanti Connect Secure (ICS).
“Resurge contient des capacités de la variante de logiciels malveillants SpawnChimera, y compris les redémarrages survivants; dit. “Le fichier contient des capacités d’un rootkit, d’un compte-gouttes, d’une porte dérobée, d’un bootkit, d’un proxy et d’un tunneler.”
La vulnérabilité de sécurité associée au déploiement des logiciels malveillants est CVE-2025-0282, une vulnérabilité de débordement de tampon basée sur la pile affectant Ivanti Connect Secure, Policy Secure et ZTA qui pourraient entraîner l’exécution du code distant.
Cela a un impact sur les versions suivantes –
- Ivanti Connect Secure avant la version 22.7R2.5
- Politique Ivanti Sécurisée avant la version 22.7R1.2, et
- Neurones Ivanti pour les passerelles ZTA avant la version 22.7R2.3
Selon Mandiant appartenant à Google, le CVE-2025-0282 a été armé pour livrer ce qu’on appelle l’écosystème de spawn du malware, comprenant plusieurs composants tels que Spawnant, Spawnmole et Spawnsnail. L’utilisation de Spawn a été attribuée à un groupe d’espionnage China-Nexus surnommé UNC5337.
Le mois dernier, JPCERT / CC a révélé qu’il observait le défaut de sécurité utilisé pour fournir une version mise à jour de Spawn connu sous le nom de Spawnchimera, qui combine tous les modules disparates susmentionnés en un malware monolithique, tout en incorporant également des modifications pour faciliter la communication inter-processus via des désignations de domaine UNIX.
Plus particulièrement, la variante révisée abritait une fonctionnalité pour corriger CVE-2025-0282 afin d’empêcher d’autres acteurs malveillants de l’exploiter pour leurs campagnes.
Resurge (“libdsupgrade.so”), par CISA, est une amélioration par rapport à SpawnChimera avec le support de trois nouvelles commandes –
- Insérer dans “ld.so.preload”, configurer un shell Web, manipuler les vérifications d’intégrité et modifier les fichiers
- Activez l’utilisation de coquilles Web pour la récolte des informations d’identification, la création de compte, les réinitialités du mot de passe et l’escalade des privilèges
- Copiez le shell Web sur le disque de démarrage en cours d’exécution d’Ivanti et manipulez l’image Coreboot en cours d’exécution
CISA a déclaré qu’il avait également déniché deux autres artefacts d’un dispositif ICS d’une entité d’infrastructure critique non spécifiée: une variante de SpawnSloth (“liblogblock.so”) contenu dans Renurge et un Binaire Linux 64 bits sur mesure (“DSMAIN”).
“Le [SPAWNSLOTH variant] Tamponne les journaux de l’appareil Ivanti, ” dit. “Le troisième fichier est un binaire incorporé personnalisé qui contient un script de shell open-source et un sous-ensemble d’applications à partir de l’outil Open-source Busybox. Le script de shell open source permet la possibilité d’extraire une image de noyau non compressée (VMLinux) à partir d’une image de noyau compromise.”
Il convient de noter que le CVE-2025-0282 a également été exploité comme un jour zéro par un autre groupe de menaces lié à la Chine suivi comme le typhon de soie (anciennement hafnium), a révélé Microsoft plus tôt ce mois-ci.
Les dernières découvertes indiquent que les acteurs de la menace derrière les logiciels malveillants affinent activement et retravaillent leur métier, ce qui rend impératif que les organisations corrigent leurs instances Ivanti à la dernière version.
En tant qu’atténuation supplémentaire, il est conseillé de réinitialiser les informations d’identification des comptes privilégiés et non privilégiés, de faire tourner les mots de passe pour tous les utilisateurs du domaine et tous les comptes locaux, examiner les politiques d’accès pour révoquer temporairement les privilèges pour les appareils affectés, réinitialiser les informations d’identification ou les clés d’accès pertinentes et surveiller les comptes pour les signes d’activité anomale.



