Il malware DslogdRAT prende di mira le organizzazioni e i loro dati
DslogdRAT è una minaccia alla sicurezza informatica di primo piano, che rappresenta l'ultimo strumento di una serie di sofisticate intrusioni informatiche che prendono di mira sistemi critici in tutto il mondo.
Table of Contents
Che cos'è DslogdRAT?
DslogdRAT è venuto alla luce per la prima volta dopo che gli esperti di sicurezza informatica ne hanno scoperto l'installazione in seguito allo sfruttamento di una vulnerabilità, ora risolta, in Ivanti Connect Secure (ICS) , una soluzione di accesso remoto ampiamente utilizzata. La falla in questione, identificata come CVE-2025-0282, consentiva agli aggressori di eseguire codice da remoto senza alcuna necessità di autenticazione dell'utente. Sebbene Ivanti abbia risolto la vulnerabilità con una patch all'inizio di gennaio 2025, i malintenzionati l'avevano già sfruttata attivamente come vulnerabilità zero-day durante attacchi informatici, in particolare in Giappone, già a dicembre 2024.
Un po' di storia su DslogdRAT
Lo sfruttamento di questa vulnerabilità è stato ricondotto a un gruppo di spionaggio legato alla Cina, noto come UNC5337. Questo gruppo ha sfruttato la falla non solo per diffondere il DslogdRAT appena scoperto, ma anche per distribuire una serie di strumenti dannosi noti come ecosistema di malware SPAWN, insieme ad altri ceppi come DRYHOOK e PHASEJAM. È interessante notare che, sebbene SPAWN sia stato attribuito a UNC5337, l'utilizzo di DRYHOOK e PHASEJAM non è ancora stato collegato a un attore specifico.
A complicare ulteriormente la situazione, sono state rilevate anche versioni aggiornate di SPAWN, denominate SPAWNCHIMERA e RESURGE, che sfruttano la stessa vulnerabilità. Un altro gruppo, UNC5221, avrebbe sfruttato una falla separata in ICS (CVE-2025-22457) per propagare varianti di malware simili. Tuttavia, le indagini in corso non hanno ancora stabilito se DslogdRAT sia direttamente collegato a queste operazioni più ampie che coinvolgono SPAWN.
Come avvengono gli attacchi
La tipica catena di attacco che coinvolge DslogdRAT inizia con gli aggressori che sfruttano la vulnerabilità CVE-2025-0282 per impiantare una web shell, uno script che consente il controllo remoto di un server compromesso. Questa web shell funge quindi da trampolino di lancio per distribuire DslogdRAT sui sistemi presi di mira.
Una volta incorporato, DslogdRAT stabilisce una connessione con un server esterno tramite un collegamento socket. Raccoglie e trasmette informazioni di base sul sistema infetto e rimane pronto a ricevere ulteriori comandi. Queste istruzioni possono variare dall'esecuzione di comandi shell arbitrari al caricamento o al download di file, fino all'utilizzo del computer compromesso come proxy per mascherare ulteriori attività dannose.
Cosa significa nel complesso?
La comparsa di DslogdRAT avviene in un momento di intensa attività contro sistemi ICS e simili. La società di threat intelligence GreyNoise ha segnalato un aumento di nove volte delle scansioni sospette dirette a dispositivi ICS e Ivanti Pulse Secure (IPS) in sole 24 ore. Negli ultimi tre mesi, oltre 1.000 indirizzi IP univoci sono stati coinvolti in questa attività di scansione. Di questi, 255 indirizzi sono stati classificati come attivamente dannosi, spesso provenienti da nodi di uscita TOR, mentre 643 sono segnalati come sospetti, principalmente collegati a provider di hosting poco noti. Le fonti più frequenti di queste scansioni sono state Stati Uniti, Germania e Paesi Bassi.
Gli esperti suggeriscono che questa impennata di ricognizioni potrebbe essere il segnale di campagne coordinate in preparazione di futuri sfruttamenti, anche se nessuna nuova vulnerabilità specifica è stata ufficialmente collegata alla scansione osservata.
Da asporto
L'arrivo di DslogdRAT ricorda alle organizzazioni le persistenti sfide che devono affrontare per proteggere le proprie infrastrutture digitali. Sebbene la natura tecnica del malware sia preoccupante, la sua scoperta sottolinea anche l'importanza cruciale della gestione proattiva delle patch, del monitoraggio approfondito dell'attività di rete e della risposta tempestiva agli incidenti.
Per le aziende e le istituzioni che si affidano a tecnologie di accesso remoto come Ivanti Connect Secure, il concetto chiave è chiaro: rimanere vigili contro le minacce emergenti non è solo consigliato, ma essenziale. Aggiornamenti regolari, misure complete di rilevamento delle minacce e formazione del personale sulle migliori pratiche di sicurezza informatica possono contribuire notevolmente a mitigare i rischi posti da malware come DslogdRAT.
Mentre la comunità della sicurezza informatica continua a indagare e monitorare questa minaccia, si consiglia alle organizzazioni di valutare la propria esposizione ai sistemi vulnerabili e di rafforzare di conseguenza le proprie strategie difensive. Sebbene il panorama delle minacce sia in continua evoluzione, risposte informate e agili rimangono la migliore difesa.
