Malware RESURGE: una ciberamenaza dirigida a los dispositivos Ivanti

malware warning

El malware RESURGE surge como una sofisticada amenaza de ciberseguridad, dirigida específicamente a vulnerabilidades en los dispositivos Ivanti Connect Secure (ICS) . Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) , RESURGE se basa en una variante de malware previamente identificada, conocida como SPAWNCHIMERA , pero con mejoras significativas que la hacen más persistente y peligrosa.

En lugar de generar alarma, este artículo tiene como objetivo informar a los profesionales de TI, analistas de seguridad y organizaciones sobre RESURGE, cómo funciona y qué se puede hacer para mitigar sus riesgos.

¿Qué es el malware RESURGE?

RESURGE es un malware multifuncional capaz de operar como rootkit, dropper, backdoor, bootkit, proxy y tunelador . Se implementa para explotar una vulnerabilidad de seguridad conocida, identificada como CVE-2025-0282 , que anteriormente afectaba a Ivanti Connect Secure, Policy Secure y Neurons para ZTA Gateways.

Esta vulnerabilidad en particular es un fallo de desbordamiento de búfer basado en la pila que permite a los atacantes ejecutar código malicioso de forma remota. Si no se corrige, puede proporcionar a los ciberdelincuentes una posición discreta y persistente en las redes comprometidas.

El análisis de CISA sobre RESURGE sugiere que comparte similitudes con SPAWNCHIMERA, una variante mejorada del ecosistema de malware SPAWN atribuida a un grupo de espionaje con sede en China (UNC5337). Sin embargo, RESURGE va más allá al incorporar capacidades adicionales, lo que lo convierte en una herramienta más eficaz para las ciberintrusiones.

¿Cómo funciona RESURGE?

Una vez implementado en un dispositivo Ivanti vulnerable, RESURGE ejecuta una serie de funciones sofisticadas:

  1. Persistencia y manipulación del sistema
    • Puede sobrevivir a los reinicios del sistema, lo que garantiza que su presencia permanezca incluso después de reiniciar el dispositivo.
    • Modifica las comprobaciones de integridad del sistema y altera archivos clave para evadir la detección.
  2. Implementación de Web Shell
    • Permite el acceso a la shell web, que puede explotarse para el robo de credenciales, la creación de cuentas no autorizadas, el restablecimiento de contraseñas y la escalada de privilegios.
    • Los atacantes pueden utilizar este acceso para mantener el control sobre el sistema y facilitar futuras intrusiones.
  3. Manipulación a nivel de arranque
    • RESURGE puede copiar shells web maliciosos al disco de arranque en ejecución del dispositivo Ivanti.
    • También tiene la capacidad de manipular la imagen coreboot en ejecución, lo que proporciona un control profundo a nivel del sistema.

¿Por qué RESURGE es una preocupación?

La presencia de RESURGE en sistemas comprometidos plantea graves implicaciones de seguridad:

  • Violación de datos y espionaje: los atacantes pueden usar el malware para robar credenciales confidenciales, manipular los controles de acceso y recopilar información.
  • Compromiso de la red: las capacidades de proxy y tunelización del malware le permiten crear conexiones de puerta trasera, lo que permite que amenazas externas accedan a redes internas sin ser detectadas.
  • Evolución del malware: el hecho de que RESURGE se base en cepas de malware anteriores sugiere que sus operadores están perfeccionando continuamente sus tácticas, lo que hace probable que las variantes futuras sean aún más resistentes y más difíciles de detectar.

Cabe destacar que Microsoft también ha vinculado la vulnerabilidad CVE-2025-0282 con otro grupo de amenazas asociado con China, Silk Typhoon (anteriormente Hafnium). Esto indica que varios grupos de ciberespionaje están explotando activamente las vulnerabilidades de Ivanti para diferentes campañas de ataque.

¿Cómo pueden protegerse las organizaciones?

Dado que RESURGE explota una falla de seguridad conocida, la aplicación de parches sigue siendo la estrategia de defensa más crítica. Ivanti ha publicado actualizaciones para corregir la vulnerabilidad y se insta a las organizaciones a aplicar estos parches de inmediato.

Además de aplicar parches, los equipos de seguridad deben tomar precauciones adicionales para minimizar el riesgo de vulneración:

  • Restablecer y rotar credenciales:
    • Cambie las contraseñas de todos los usuarios del dominio y las cuentas locales que puedan haberse visto afectadas.
    • Restablezca las credenciales de las cuentas privilegiadas y no privilegiadas para evitar el acceso no autorizado.
  • Revisar y ajustar las políticas de acceso:
    • Revocar temporalmente los privilegios administrativos en los dispositivos afectados.
    • Implemente la autenticación multifactor (MFA) siempre que sea posible para agregar una capa adicional de seguridad.
  • Monitorizar anomalías:
    • Revise activamente los registros de la red y del sistema para detectar actividad inusual, especialmente intentos de acceso no autorizado.
    • Implementar soluciones de detección y respuesta de puntos finales (EDR) para detectar y neutralizar el comportamiento potencial de malware.
  • Realizar auditorías de seguridad:
    • Audite periódicamente las reglas del firewall, la integridad del sistema y los registros de acceso para garantizar que no se hayan realizado modificaciones no autorizadas.
    • Implementar una segmentación estricta entre los sistemas críticos y los servicios expuestos para limitar el impacto de una violación.

En resumen

El descubrimiento del malware RESURGE pone de relieve la constante evolución de las ciberamenazas, especialmente las asociadas con campañas de espionaje patrocinadas por Estados. Si bien este malware es altamente sofisticado, las organizaciones pueden mitigar sus riesgos manteniéndose alertas, aplicando parches e implementando políticas de seguridad sólidas.

Al adoptar una postura proactiva en materia de ciberseguridad, las empresas y entidades gubernamentales pueden garantizar que sus dispositivos Ivanti, y su infraestructura de TI en general, permanezcan protegidos contra amenazas emergentes. RESURGE nos recuerda que la ciberseguridad no es un esfuerzo puntual, sino un proceso continuo de adaptación y defensa.

En Willa
April 1, 2025
Malware
Spanish
April 1, 2025
Malware

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.