Malware DslogdRAT tem como alvo organizações e seus dados
O DslogdRAT é uma ameaça de segurança cibernética em destaque, que representa a ferramenta mais recente em uma série de intrusões cibernéticas sofisticadas que têm como alvo sistemas críticos no mundo todo.
Table of Contents
O que é DslogdRAT?
O DslogdRAT veio à tona pela primeira vez depois que especialistas em segurança cibernética descobriram sua instalação após a exploração de uma vulnerabilidade, agora resolvida, no Ivanti Connect Secure (ICS) , uma solução de acesso remoto amplamente utilizada. A falha em questão, identificada como CVE-2025-0282, permitia que invasores executassem código remotamente sem a necessidade de autenticação do usuário. Embora o Ivanti tenha corrigido a vulnerabilidade com um patch no início de janeiro de 2025, agentes maliciosos já a exploravam ativamente como um ataque de dia zero durante ataques cibernéticos, especialmente no Japão, já em dezembro de 2024.
Um pouco de história sobre DslogdRAT
A exploração dessa vulnerabilidade foi rastreada até um grupo de espionagem ligado à China, conhecido como UNC5337. Esse grupo aproveitou a falha não apenas para disseminar o DslogdRAT recém-descoberto, mas também para implantar um conjunto de ferramentas maliciosas conhecido como ecossistema de malware SPAWN, juntamente com outras cepas, como DRYHOOK e PHASEJAM. Curiosamente, embora o SPAWN tenha sido atribuído ao UNC5337, o uso do DRYHOOK e do PHASEJAM ainda não foi associado a um agente específico.
Para complicar ainda mais a situação, versões atualizadas do SPAWN, denominadas SPAWNCHIMERA e RESURGE, também foram detectadas explorando a mesma vulnerabilidade. Outro grupo, o UNC5221, teria utilizado uma falha separada no ICS (CVE-2025-22457) para propagar variantes semelhantes de malware. No entanto, as investigações atuais ainda não determinaram se o DslogdRAT está diretamente conectado a essas operações mais amplas envolvendo o SPAWN.
Como os ataques ocorrem
A cadeia de ataque típica envolvendo o DslogdRAT começa com invasores aproveitando a vulnerabilidade CVE-2025-0282 para implantar um shell web — um script que permite o controle remoto de um servidor comprometido. Esse shell web atua então como um trampolim para implantar o DslogdRAT nos sistemas alvos.
Uma vez incorporado, o DslogdRAT estabelece uma conexão com um servidor externo por meio de um link de soquete. Ele coleta e transmite informações básicas sobre o sistema infectado e permanece pronto para receber comandos adicionais. Essas instruções podem variar desde a execução de comandos de shell arbitrários até o upload ou download de arquivos e até mesmo o uso da máquina comprometida como proxy para mascarar outras atividades maliciosas.
O que isso significa no geral?
O surgimento do DslogdRAT ocorre em um momento de intensa atividade contra ICS e sistemas similares. A empresa de inteligência de ameaças GreyNoise relatou um aumento de nove vezes nas tentativas de varredura suspeita direcionadas a dispositivos ICS e Ivanti Pulse Secure (IPS) em apenas 24 horas. Nos últimos três meses, mais de 1.000 endereços IP exclusivos foram envolvidos nessa atividade de varredura. Destes, 255 endereços foram classificados como ativamente maliciosos, frequentemente originados de nós de saída do TOR, enquanto 643 foram sinalizados como suspeitos, principalmente vinculados a provedores de hospedagem obscuros. As fontes mais frequentes dessas varreduras foram os Estados Unidos, a Alemanha e a Holanda.
Especialistas sugerem que esse aumento no reconhecimento pode ser um sinal de campanhas coordenadas se preparando para exploração futura, embora nenhuma nova vulnerabilidade específica tenha sido oficialmente vinculada à varredura observada.
A lição
A chegada do DslogdRAT lembra às organizações os desafios persistentes que enfrentam para proteger suas infraestruturas digitais. Embora a natureza técnica do malware seja preocupante, sua descoberta também ressalta a importância crucial do gerenciamento proativo de patches, do monitoramento rigoroso da atividade da rede e da resposta rápida a incidentes.
Para empresas e instituições que dependem de tecnologias de acesso remoto como o Ivanti Connect Secure, a principal lição é clara: manter-se vigilante contra ameaças emergentes não é apenas recomendado, é essencial. Atualizações regulares, medidas abrangentes de detecção de ameaças e treinamento da equipe sobre as melhores práticas de segurança cibernética podem contribuir significativamente para mitigar os riscos representados por malware como o DslogdRAT.
À medida que a comunidade de segurança cibernética continua investigando e monitorando essa ameaça, recomenda-se que as organizações revisem sua exposição a sistemas vulneráveis e fortaleçam suas estratégias de defesa adequadamente. Embora o cenário de ameaças esteja em constante mudança, respostas informadas e ágeis continuam sendo a melhor defesa.
