El malware DslogdRAT ataca a las organizaciones y sus datos
DslogdRAT es una amenaza destacada para la seguridad cibernética, que representa la última herramienta en una serie de intrusiones cibernéticas sofisticadas dirigidas a sistemas críticos en todo el mundo.
Table of Contents
¿Qué es DslogdRAT?
DslogdRAT se reveló por primera vez después de que expertos en ciberseguridad descubrieran su instalación tras la explotación de una vulnerabilidad ya resuelta en Ivanti Connect Secure (ICS) , una solución de acceso remoto ampliamente utilizada. La falla en cuestión, identificada como CVE-2025-0282, permitía a los atacantes ejecutar código de forma remota sin necesidad de autenticación del usuario. Aunque Ivanti solucionó la vulnerabilidad con un parche a principios de enero de 2025, actores maliciosos ya la habían estado explotando activamente como vulnerabilidad de día cero durante ciberataques, especialmente en Japón, desde diciembre de 2024.
Un poco de historia sobre DslogdRAT
La explotación de esta vulnerabilidad se remonta a un grupo de espionaje vinculado a China, conocido como UNC5337. Este grupo aprovechó la falla no solo para distribuir el recién descubierto DslogdRAT, sino también para desplegar un conjunto de herramientas maliciosas conocido como el ecosistema de malware SPAWN, junto con otras cepas como DRYHOOK y PHASEJAM. Curiosamente, si bien SPAWN se ha atribuido a UNC5337, el uso de DRYHOOK y PHASEJAM aún no se ha vinculado a un actor específico.
Para complicar aún más la situación, se han detectado versiones actualizadas de SPAWN, denominadas SPAWNCHIMERA y RESURGE, que explotan la misma vulnerabilidad. Otro grupo, UNC5221, habría utilizado una falla independiente en ICS (CVE-2025-22457) para propagar variantes de malware similares. Sin embargo, las investigaciones actuales aún no han determinado si DslogdRAT está directamente relacionado con estas operaciones más amplias que involucran a SPAWN.
Cómo ocurren los ataques
La cadena de ataque típica que involucra a DslogdRAT comienza con atacantes que aprovechan la vulnerabilidad CVE-2025-0282 para implantar un shell web, un script que permite el control remoto de un servidor comprometido. Este shell web actúa como trampolín para implementar DslogdRAT en los sistemas objetivo.
Una vez incrustado, DslogdRAT establece una conexión con un servidor externo mediante un enlace de socket. Recopila y transmite información básica sobre el sistema infectado y se mantiene a la espera de recibir nuevos comandos. Estas instrucciones pueden abarcar desde la ejecución de comandos de shell arbitrarios hasta la carga o descarga de archivos, e incluso el uso del equipo comprometido como proxy para enmascarar otras actividades maliciosas.
¿Qué significa en general?
La aparición de DslogdRAT coincide con un aumento de la actividad contra ICS y sistemas similares. La firma de inteligencia de amenazas GreyNoise ha informado de un aumento de nueve veces en los análisis sospechosos dirigidos a dispositivos ICS e Ivanti Pulse Secure (IPS) en tan solo 24 horas. En los últimos tres meses, más de 1000 direcciones IP únicas han participado en este análisis. De estas, 255 direcciones se han clasificado como activamente maliciosas, a menudo procedentes de nodos de salida de TOR, mientras que 643 se han marcado como sospechosas, principalmente vinculadas a proveedores de alojamiento desconocidos. Las fuentes más frecuentes de estos análisis han sido Estados Unidos, Alemania y los Países Bajos.
Los expertos sugieren que este aumento en el reconocimiento puede ser una señal de campañas coordinadas que se preparan para una futura explotación, aunque oficialmente no se han vinculado nuevas vulnerabilidades específicas con el escaneo observado.
La comida para llevar
La llegada de DslogdRAT recuerda a las organizaciones los desafíos persistentes que enfrentan para proteger sus infraestructuras digitales. Si bien la naturaleza técnica del malware es preocupante, su descubrimiento también subraya la importancia crucial de la gestión proactiva de parches, la monitorización exhaustiva de la actividad de la red y la respuesta oportuna ante incidentes.
Para las empresas e instituciones que utilizan tecnologías de acceso remoto como Ivanti Connect Secure, la conclusión clave es clara: mantenerse alerta ante las amenazas emergentes no solo es recomendable, sino esencial. Las actualizaciones periódicas, las medidas integrales de detección de amenazas y la capacitación del personal sobre las mejores prácticas de ciberseguridad pueden contribuir significativamente a mitigar los riesgos que plantea malware como DslogdRAT.
A medida que la comunidad de ciberseguridad continúa investigando y monitoreando esta amenaza, se recomienda a las organizaciones que revisen su exposición a sistemas vulnerables y refuercen sus estrategias defensivas en consecuencia. Si bien el panorama de amenazas cambia constantemente, las respuestas informadas y ágiles siguen siendo la mejor defensa.
