La agencia de ciberseguridad estadounidense publicó un informe técnico sobre RESURGE, un implante capaz de permanecer latente en los appliances VPN. Su arquitectura de comando y control pasiva y sus capacidades de rootkit le permiten evadir la monitorización de red hasta ser activado remotamente.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha publicado un detallado informe de análisis sobre RESURGE, un sofisticado implante de malware diseñado para permanecer oculto en dispositivos Ivanti Connect Secure. Este malware fue utilizado en ataques de día cero que explotaban la vulnerabilidad CVE-2025-0282 y se caracteriza por una arquitectura de comando y control (C2) totalmente pasiva, lo que le permite evadir la detección durante largos periodos. A diferencia de otros implantes que generan tráfico saliente para comunicarse con sus operadores, RESURGE permanece inactivo hasta recibir una conexión entrante específica.
El análisis técnico revela que RESURGE, identificado como un archivo de objeto compartido de Linux de 32 bits (libdsupgrade.so), se inyecta en el proceso web nativo de Ivanti. Una vez cargado, engancha la función accept() para inspeccionar todos los paquetes TLS entrantes antes de que lleguen al servidor web legítimo. Utilizando un esquema de hash de huella digital CRC32 TLS, el malware puede diferenciar el tráfico de un operador del tráfico de un usuario normal. Si la huella digital no coincide, la conexión se reenvía de forma transparente al servidor de Ivanti, sin dejar rastro de su presencia. Solo cuando recibe la señal correcta, el malware establece una sesión segura de Acceso Remoto Mutuo (mTLS) con el atacante, utilizando criptografía de curva elíptica para proteger las comunicaciones.
Una de las capacidades más alarmantes de RESURGE es su persistencia a nivel de firmware. El implante contiene un script de extracción del kernel llamado dsmain, que le permite descifrar, modificar y volver a cifrar las imágenes de firmware de coreboot del dispositivo. Al inyectar sus componentes maliciosos directamente en la imagen de arranque, el malware asegura su supervivencia a través de reinicios del sistema e incluso de posibles restablecimientos de fábrica. Para completar su sigilo, RESURGE incluye una variante del malware SPAWNSLOTH, llamada liblogblock.so, cuyo único propósito es manipular los registros del sistema para borrar cualquier evidencia de actividad maliciosa.
La campaña de explotación de la vulnerabilidad CVE-2025-0282, un desbordamiento de búfer basado en la pila, comenzó a mediados de diciembre de 2024, operando como un día cero hasta que fue parcheada. Investigadores de Mandiant, ahora parte de Google Cloud, han documentado la campaña, destacando que actores de amenazas vinculados a China, rastreados como UNC5221 están probablemente detrás de estos ataques. El objetivo principal de los atacantes parece ser el robo de bases de datos sensibles de los appliances, que contienen información de sesiones VPN, cookies, claves de API, certificados y credenciales de usuario.
Debido a que RESURGE puede permanecer latente e indetectable, CISA enfatiza que el implante "sigue siendo una amenaza activa". La agencia insta a los administradores de sistemas a utilizar los indicadores de compromiso (IoCs) actualizados para detectar y eliminar infecciones durmientes. Tal como detalla CISA en su reporte oficial, la mitigación más efectiva es realizar un restablecimiento de fábrica del dispositivo utilizando una imagen limpia conocida y externa. Además, se recomienda encarecidamente restablecer las credenciales de todas las cuentas de dominio y locales, incluyendo un doble reinicio de la cuenta krbtgt para invalidar cualquier ticket Kerberos comprometido.
FUENTE ORIGINAL
CISA↗CURADO POR
Alejandro Vargas