La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) ha publicado un análisis técnico ampliado sobre RESURGE, un implante malicioso avanzado utilizado en ataques dirigidos contra Ivanti Connect Secure a través de la vulnerabilidad de día cero CVE-2025-0282. Este malware combina capacidades de rootkit, bootkit y backdoor sigiloso, con el objetivo de mantener un acceso persistente y difícil de detectar en infraestructuras corporativas y gubernamentales.
Contexto de la campaña: CVE-2025-0282 y explotación de Ivanti Connect Secure
Según CISA, RESURGE fue identificado inicialmente meses atrás en dispositivos Ivanti, donde ya demostraba capacidad para sobrevivir a reinicios, desplegar web-shells orientadas al robo de credenciales, crear nuevas cuentas de usuario, restablecer contraseñas y escalar privilegios en los appliances afectados.
La empresa de inteligencia de amenazas Mandiant vincula la explotación activa de CVE-2025-0282, al menos desde mediados de diciembre de 2024, con un actor de amenazas asociado a China, rastreado como UNC5221. Dado que Ivanti Connect Secure se utiliza de forma extensiva como pasarela VPN SSL en grandes organizaciones, el compromiso de estos dispositivos abre una vía directa hacia redes internas, eludiendo gran parte de los controles perimetrales tradicionales.
Perfil técnico de RESURGE: rootkit, backdoor y C2 pasivo altamente sigiloso
El análisis de CISA describe a RESURGE como una biblioteca de 32 bits en formato Linux Shared Object con el nombre libdsupgrade.so, inyectada en el proceso web del dispositivo Ivanti. El implante desempeña múltiples funciones: rootkit (oculta procesos y actividad maliciosa), backdoor (proporciona acceso remoto no autorizado), dropper (descarga y ejecuta componentes adicionales) y módulo de proxy y túnel de tráfico.
C2 pasivo, interceptación de TLS y autenticación mediante certificados falsos
Uno de los aspectos más relevantes es su canal de mando y control (C2) pasivo. A diferencia de muchos troyanos que realizan conexiones periódicas hacia el servidor del atacante, RESURGE permanece a la espera de un concreto flujo de conexión TLS entrante. Esta estrategia reduce drásticamente la huella en el tráfico saliente y complica la detección basada en comportamiento de red o en políticas estrictas de filtrado egress.
Tras cargarse en el proceso del servidor web, el implante intercepta la llamada al sistema accept(), permitiéndole inspeccionar las conexiones TLS antes de que lleguen al servicio legítimo de Ivanti. El malware calcula un valor CRC32 sobre el “fingerprint” TLS de cada sesión; si el hash no coincide con el valor esperado, la conexión se entrega de forma transparente al servidor legítimo, sin que el usuario perciba anomalías.
Para diferenciar al operador del malware de un cliente legítimo, los atacantes emplean un certificado Ivanti falsificado como marcador de autenticación. El certificado no se utiliza para cifrar el canal, sino como identificador: se transmite en texto claro, lo que permite que, según CISA, pueda servirse como indicador de compromiso (IoC) en el análisis de tráfico.
Una vez verificado el fingerprint TLS y el certificado, RESURGE establece un canal cifrado mediante Mutual TLS con criptografía de curvas elípticas. El implante solicita un clave EC al servidor del atacante y valida su autenticidad usando un certificado de autoridad raíz incrustado en el binario. Este diseño dificulta tanto la intercepción como la suplantación del canal de control incluso si se detecta su existencia.
Componentes asociados: SpawnSloth y persistencia tipo bootkit en coreboot
El informe de CISA también analiza dos archivos relacionados con RESURGE. El primero es una variante de la malware SpawnSloth, distribuida como biblioteca liblogblock.so, cuya función principal es el borrado selectivo de registros. Al manipular o eliminar logs de autenticación, eventos de red y trazas del sistema, se complica seriamente la labor forense y la reconstrucción cronológica del ataque.
El segundo componente es un binario denominado dsmain, que hace uso del script de código abierto extract_vmlinux.sh y de utilidades BusyBox para descifrar, modificar y volver a cifrar imágenes de firmware coreboot. Este proceso habilita una persistencia tipo bootkit: el código malicioso se ancla en el firmware, puede sobrevivir a reinstalaciones del sistema operativo y a procedimientos habituales de recuperación. En estos escenarios, la erradicación completa suele requerir la reprogramación del firmware o incluso la sustitución física del dispositivo.
Impacto para las organizaciones y recomendaciones de defensa
La combinación de la vulnerabilidad crítica CVE-2025-0282, un C2 pasivo y la posibilidad de modificar coreboot convierten a RESURGE en una amenaza de alto impacto para entornos que dependen de Ivanti Connect Secure como pieza clave de acceso remoto. El implante puede permanecer inactivo durante largos periodos, esperando la conexión del operador, con escasa o nula visibilidad en logs y telemetría.
Entre las medidas prioritarias para organizaciones con dispositivos Ivanti Connect Secure se incluyen:
- Aplicar de inmediato los parches oficiales que corrigen CVE-2025-0282.
- Comparar configuraciones y imágenes de firmware con versiones de referencia confiables (“golden images”).
- Monitorizar el tráfico TLS en busca de certificados anómalos y patrones de negociación inusuales, apoyándose en los IoC publicados por CISA y otros organismos.
- Implementar registro centralizado fuera del propio dispositivo VPN y vigilar intentos de manipulación o borrado de logs.
- Ante sospecha de compromiso, considerar la revisión o reprogramación de coreboot, el cambio masivo de credenciales administrativas y de usuarios VPN, y una segmentación reforzada de la red alrededor de los gateways.
Los ataques con RESURGE subrayan la evolución de las amenazas dirigidas a dispositivos de borde como pasarelas VPN y appliances de red, que pasan de simples exploits a campañas multietapa con persistencia a nivel de firmware y control remoto altamente encubierto. Priorizar la gestión de vulnerabilidades en estos equipos, seguir de cerca los boletines de CISA y de los proveedores, e invertir en monitorización de tráfico y control de integridad de firmware son pasos esenciales para reducir el riesgo de accesos encubiertos de larga duración a recursos críticos.
