RESURGE: Malware Persistente en Dispositivos Ivanti Comprometidos, Alerta la CISA

La CISA Expone el Malware RESURGE que Ataca Dispositivos Ivanti Connect Secure

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha revelado nuevos detalles técnicos sobre RESURGE, un implante de malware sofisticado utilizado en recientes ataques de día cero que explotan la vulnerabilidad CVE-2025-0282 para comprometer dispositivos Ivanti Connect Secure. La agencia advierte que este malware puede permanecer inactivo, evadiendo la detección mientras mantiene persistencia en los sistemas infectados.

Detalles Técnicos de RESURGE

RESURGE, identificado en campañas activas de actores de amenazas, aprovecha la vulnerabilidad crítica CVE-2025-0282 en los appliances VPN Ivanti Connect Secure. Según el análisis de la CISA, el malware emplea múltiples técnicas de evasión, incluyendo:

• Mecanismos de inactividad para evitar activar alertas de seguridad durante la fase inicial de compromiso.
• Inyección de procesos para ejecutar código malicioso dentro de procesos legítimos del sistema.
• Comunicaciones ofuscadas de comando y control (C2) para eludir la monitorización de red.

El aviso de la CISA destaca que RESURGE está diseñado para recolectar credenciales, exfiltrar datos y establecer acceso de puerta trasera con el fin de moverse lateralmente dentro de redes comprometidas. La arquitectura modular del implante sugiere que podría formar parte de un kit de herramientas de ataque más amplio, potencialmente vinculado a grupos de amenazas persistentes avanzadas (APT).

Impacto y Evaluación de Riesgos

La explotación de CVE-2025-0282 representa riesgos significativos para organizaciones que dependen de Ivanti Connect Secure para acceso remoto. Las principales preocupaciones incluyen:

• Persistencia sigilosa: La capacidad de RESURGE para permanecer inactivo complica su detección, permitiendo que los actores de amenazas mantengan acceso durante períodos prolongados.
• Exfiltración de datos: Las capacidades de recolección de credenciales del malware podrían llevar a accesos no autorizados a sistemas corporativos o gubernamentales sensibles.
• Riesgos en la cadena de suministro: Los dispositivos Ivanti comprometidos pueden servir como puntos de entrada para infiltraciones más amplias en la red, especialmente en sectores de alto valor como gobierno, defensa e infraestructuras críticas.

Los hallazgos de la CISA subrayan la urgencia para que las organizaciones parcheen inmediatamente los sistemas Ivanti vulnerables y realicen un análisis forense exhaustivo para identificar signos de compromiso.

Mitigación y Recomendaciones

La CISA insta a los administradores a tomar las siguientes acciones:

1. Aplicar parches: Actualizar inmediatamente los dispositivos Ivanti Connect Secure a la última versión de firmware que aborde la vulnerabilidad CVE-2025-0282.
2. Aislar sistemas afectados: Poner en cuarentena cualquier dispositivo que muestre comportamiento sospechoso hasta completar una investigación exhaustiva.
3. Monitorear indicadores de compromiso (IOCs): Revisar el aviso de la CISA para obtener IOCs específicos de RESURGE, incluyendo hashes de archivos, dominios C2 y firmas de red.
4. Mejorar la detección: Implementar soluciones de detección y respuesta en endpoints (EDR) para identificar inyecciones de procesos y tráfico C2 anómalo.
5. Realizar análisis forense: Utilizar la herramienta de verificación de integridad de Ivanti para verificar la integridad del sistema y detectar modificaciones no autorizadas.

Se recomienda a las organizaciones asumir una brecha si tienen dispositivos Ivanti expuestos e iniciar protocolos de respuesta a incidentes. El informe completo de la CISA proporciona orientación técnica adicional para los defensores.