Die US-Behörde für Cybersicherheit und Infrastrukturschutz (CISA) hat eine aktualisierte technische Analyse zur Malware RESURGE veröffentlicht. Der hochentwickelte Implantat‑Code zielt auf Ivanti Connect Secure-VPN-Gateways ab und nutzt dabei die 0-Day-Schwachstelle CVE-2025-0282. RESURGE kombiniert Fähigkeiten eines Rootkits, Bootkits und versteckten Backdoors, um sich langfristig und weitgehend unsichtbar in Unternehmensnetzwerken festzusetzen.
Hintergrund: Zielgerichtete Angriffe auf Ivanti Connect Secure und CVE-2025-0282
CISA dokumentierte RESURGE bereits im März des Vorjahres, als erste Fälle bekannt wurden, in denen die Malware Neustarts überstand, Web-Shells installierte, neue Accounts anlegte, Passwörter zurücksetzte und Privilegien auf kompromittierten Ivanti-Gateways eskalierte. Damit eignete sie sich ideal für verdeckte, länger laufende Spionageoperationen.
Der Sicherheitsanbieter Mandiant führt die Ausnutzung der kritischen Schwachstelle CVE-2025-0282 mindestens seit Mitte Dezember 2024 auf eine mutmasslich staatlich gesteuerte Gruppe zurück, die unter dem Kürzel UNC5221 verfolgt wird und mit China in Verbindung gebracht wird. Da Ivanti Connect Secure in Konzernen und Behörden weit verbreitet ist und als SSL‑VPN-Gateway oft direkt am Perimeter steht, eröffnet ein erfolgreicher Exploit Angreifern unmittelbaren Zugriff auf interne Netze – häufig unter Umgehung klassischer Firewalls und Intrusion-Prevention-Systeme.
Technische Eigenschaften von RESURGE: Rootkit, Backdoor und passives C2
Nach Angaben von CISA wird RESURGE als 32‑Bit‑Linux Shared Object unter dem Tarnnamen libdsupgrade.so bereitgestellt. Die Bibliothek wird in einen Web‑Prozess des Ivanti-Geräts injiziert und übernimmt mehrere Rollen gleichzeitig: Rootkit zur Verschleierung von Aktivitäten, Backdoor für verdeckten Fernzugriff, Dropper für weitere Schadkomponenten sowie Proxy- und Tunneling-Modul für die Umleitung von Datenverkehr.
Passives Command-and-Control: Warten auf das „richtige“ TLS-Handschlagmuster
Im Gegensatz zu vielen herkömmlichen Backdoors baut RESURGE keine periodischen Verbindungen zu einem Command-and-Control-Server (C2) auf. Stattdessen setzt die Malware auf ein passives C2-Modell und wartet unbegrenzt auf eingehende TLS-Verbindungen. Dadurch entstehen keine auffälligen ausgehenden Verbindungen, was die Erkennung durch Egress-Firewalls, Proxy-Logs und NTA/NDR-Lösungen erheblich erschwert.
Nach der Injektion in den Webserver-Prozess hakt sich RESURGE in den Systemaufruf accept() ein und inspiziert eingehende TLS-Pakete, bevor der legitime Ivanti-Webserver sie sieht. Das TLS-Client-Hello wird über eine CRC32-Funktion gehasht. Nur wenn der resultierende Hash einem fest kodierten Wert entspricht, behandelt RESURGE die Verbindung als Steuerkanal. Andernfalls reichen die Hooks die Verbindung transparent an den regulären Webserver durch – für legitime Nutzer bleibt die Präsenz der Malware unsichtbar.
Zertifikatsmissbrauch und Mutual TLS zur Absicherung des Steuerkanals
Zur Authentifizierung des Operators missbrauchen die Angreifer einen gefälschten Ivanti-Zertifikatsdatensatz. Dieses Zertifikat dient nicht der eigentlichen Transportverschlüsselung, sondern fungiert als Marker, der signalisiert, dass die Verbindung von einem legitimen Operator der Malware stammt. Bemerkenswert ist, dass das Zertifikat laut CISA im Klartext übertragen wird. Verteidiger können es daher als netzwerkbasierte Signatur und starken Indikator einer Kompromittierung in TLS- und PCAP-Analysen nutzen.
Im Anschluss etabliert RESURGE ein Mutual-TLS-Setup mit elliptischer Kurvenkryptografie. Die Malware fordert vom entfernten Operator einen Elliptic-Curve-Schlüssel an und prüft diesen mithilfe eines im Binärcode hart hinterlegten CA-Schlüssels. Diese Konstruktion reduziert die Angriffsfläche für Man-in-the-Middle-Angriffe selbst dann, wenn Sicherheitslösungen den Steuerkanal erkennen.
Weitere Komponenten: SpawnSloth und Manipulation von coreboot-Firmware
CISA analysierte zusätzlich zwei eng verknüpfte Komponenten. Die erste ist eine Variante der Malware SpawnSloth (Bibliothek liblogblock.so), deren Hauptzweck das Manipulieren und Löschen von Logdateien ist. Angriffe auf lokale Logquellen erschweren forensische Analysen erheblich, da Authentifizierungsereignisse, Systemmeldungen und Netzwerkprotokolle gezielt verfälscht oder entfernt werden können. Daher gewinnt ein zentrales, unveränderliches Log-Archiv ausserhalb des betroffenen Geräts zusätzlich an Bedeutung.
Die zweite Komponente, das Binärprogramm dsmain, nutzt das Open-Source-Skript extract_vmlinux.sh sowie BusyBox-Werkzeuge, um coreboot-Firmware-Images zu entschlüsseln, zu modifizieren und erneut zu verschlüsseln. Damit erreichen die Angreifer eine Bootkit-Persistenz auf Firmware-Ebene: Schadcode überlebt Neuinstallationen des Betriebssystems und übliche Recovery-Prozesse. In solchen Fällen ist eine saubere Bereinigung häufig nur durch Reflashen der Firmware oder den kompletten Austausch der Hardware möglich.
Auswirkungen auf Unternehmen und priorisierte Schutzmassnahmen
Die Kombination aus 0-Day-Exploit (CVE-2025-0282), passivem C2 und Firmware-Persistenz macht RESURGE besonders kritisch für Organisationen, die Ivanti Connect Secure als zentrales VPN-Gateway einsetzen. Die Malware kann über Wochen oder Monate im „Schlummermodus“ verweilen und nur auf speziell präparierte Zugriffe reagieren – mit minimalen Spuren in Logs und Netzwerk-Telemetrie.
Organisationen sollten kurzfristig folgende Massnahmen umsetzen: 1) umgehende Installation aller von Ivanti veröffentlichten Patches zur Schliessung von CVE-2025-0282; 2) Vergleich von Konfigurationen und Firmware-Images mit bekannten Referenzständen (Golden Images); 3) Einsatz der von CISA und Herstellern publizierten Indicators of Compromise (IoCs); 4) Überwachung des TLS-Verkehrs auf ungewöhnliche Zertifikate, TLS-Fingerprints und atypische Handshakes; 5) Härtung der Protokollierung durch manipulationssichere, zentrale Log-Speicher.
Bei Verdacht auf eine Kompromittierung reichen einfache Software-Resets in der Regel nicht aus. Stattdessen sollte geprüft werden, ob eine coreboot-Überprüfung oder -Neuinstallation erforderlich ist. Ergänzend sind eine umfassende Passwort- und Schlüsselrotation (Admins, VPN-Nutzer, Service-Accounts), ein Audit aller neu angelegten oder veränderten Benutzerkonten sowie eine temporäre Netzsegmentierung rund um das VPN-Gateway empfehlenswert, um laterale Bewegungen zu begrenzen.
Der Fall RESURGE unterstreicht, dass Netzwerkappliances und VPN-Gateways längst im Fokus hochprofessioneller Angreifer stehen. Unternehmen sollten ihre Vulnerability-Management-Strategie darauf ausrichten, Perimetersysteme und Remote-Access-Lösungen mit höchster Priorität zu behandeln, Sicherheitsbulletins von CISA und Herstellern eng zu verfolgen und in tiefgehende Netzwerküberwachung sowie Firmware-Integritätsprüfungen zu investieren. Wer seine VPN-Infrastruktur proaktiv härtet und Anomalien frühzeitig erkennt, reduziert das Risiko eines langfristigen, verdeckten Zugriffs auf kritische Unternehmensressourcen erheblich.
