A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) publicou recentemente uma análise detalhada sobre o malware usado em ataques que exploraram a vulnerabilidade de zero-day do Ivanti Connect Secure, rastreada como CVE-2025-0282. Esse bug foi corrigido em janeiro de 2025 e foi descrito como um estouro de buffer baseado em pilha, permitindo que invasores executassem código arbitrário remotamente sem a necessidade de autenticação. A vulnerabilidade foi explorada ativamente desde dezembro de 2024, por um grupo de espionagem chinês conhecido como UNC5221.
Leia também
Pacotes npm criam backdoors persistentes
Jailbreak funciona na maioria dos modelos de IA
O grupo de hackers, que já havia explorado outras falhas do Ivanti VPN anteriormente, usou o CVE-2025-0282 para implantar variantes do malware da família Spawn, como SpawnAnt, SpawnMole e SpawnSnail. A CISA, junto com o JPCERT/CC, descobriu que uma nova variante chamada SpawnChimera foi utilizada, contendo versões atualizadas dos malwares já mencionados, além de possuir uma função que corrige o próprio CVE-2025-0282.
Em sua análise, a CISA identificou que o malware implantado no Ivanti Connect Secure comprometido era uma versão chamada Resurge, que foi inserida como uma biblioteca Linux chamada ‘libdsupgrade.so’. O Resurge compartilha funcionalidades com o SpawnChimera, incluindo rootkit, dropper, backdoor, proxy e tunneling, mas também apresenta novos recursos como manipulação de arquivos, modificação de verificações de integridade e a criação de um shell da web para execução remota de comandos. Além disso, o malware configurava a persistência inserindo-se no arquivo ‘ld.so.preload’, permitindo que ele fosse executado automaticamente.
O Resurge também contava com uma variante do malware SpawnSloth, chamado ‘liblogblock.so’, que era capaz de modificar os logs do dispositivo Ivanti, e outro arquivo chamado ‘dsmain’, um executável Linux de 64 bits que usava applets do BusyBox para extrair imagens do kernel e baixar cargas úteis adicionais.
Essas descobertas sublinham a sofisticação e os métodos de persistência usados pelos invasores, além de destacar a gravidade da exploração de vulnerabilidades de zero-day em sistemas corporativos, como o Ivanti Connect Secure.
