Il panorama della sicurezza informatica è in continua evoluzione, e un recente esempio di questa tendenza è l'emergere del malware DslogdRAT, che ha sfruttato una vulnerabilità di sicurezza in Ivanti Connect Secure (ICS). Questa vulnerabilità, identificata come CVE-2025-0282, è stata sfruttata da un gruppo di cyber spionaggio di origine cinese noto come UNC5337, diventando un vettore per l'installazione del malware DslogdRAT. L'attacco ha colpito diverse organizzazioni in Giappone nel dicembre 2024, sfruttando una vulnerabilità zero-day che è stata poi risolta da Ivanti all'inizio del 2025.
Il malware DslogdRAT, insieme a una web shell, è stato distribuito per eseguire comandi remoti non autorizzati sui sistemi compromessi. Questo tipo di attacco sottolinea l'importanza di mantenere aggiornati i sistemi di sicurezza per prevenire l'accesso non autorizzato. La vulnerabilità CVE-2025-0282 è stata sfruttata per installare una serie di strumenti malevoli, tra cui SPAWN, DRYHOOK e PHASEJAM, quest'ultimo non attribuito a un attore specifico.
L'analisi condotta da JPCERT/CC e CISA ha rivelato che la vulnerabilità è stata utilizzata per distribuire versioni aggiornate del malware SPAWN, rinominate SPAWNCHIMERA e RESURGE. Inoltre, Mandiant, società di proprietà di Google, ha scoperto che un'altra vulnerabilità in ICS, CVE-2025-22457, è stata utilizzata per diffondere SPAWN tramite un altro gruppo di hacker cinese noto come UNC5221.
Il malware DslogdRAT si connette a un server esterno per inviare informazioni di sistema e ricevere ulteriori istruzioni, tra cui l'esecuzione di comandi shell e il caricamento o scaricamento di file. Questo meccanismo permette al malware di utilizzare l'host infetto come proxy, ampliando così le sue capacità di attacco.
La società di intelligence GreyNoise ha rilevato un aumento sospetto dell'attività di scansione targeting ICS e Ivanti Pulse Secure, con oltre 270 indirizzi IP unici coinvolti nell'ultimo giorno e più di 1.000 negli ultimi 90 giorni. La maggior parte di questi indirizzi IP sono stati classificati come sospetti o malevoli, spesso associati a nodi di uscita TOR e provider di hosting meno noti.
La tempestiva identificazione e patching delle vulnerabilità non è solo una pratica di sicurezza essenziale, ma anche una componente critica nella prevenzione di potenziali attacchi informatici. Gli attacchi di questo tipo evidenziano la necessità di un monitoraggio costante delle infrastrutture di rete e di una risposta rapida alle minacce emergenti.