Peneliti cybersecurity memperingatkan tentang malware baru yang disebut dslogdrat yang diinstal setelah eksploitasi cacat keamanan yang sekarang ditonton di Ivanti Connect Secure (ICS).
Malware, bersama dengan cangkang web, “dipasang dengan mengeksploitasi kerentanan nol hari pada waktu itu, CVE-2025-0282, selama serangan terhadap organisasi di Jepang sekitar Desember 2024,” kata peneliti JPCERT/CC Yuma Masubuchi dalam sebuah laporan yang diterbitkan Kamis.
CVE-2025-0282 mengacu pada cacat keamanan kritis dalam ICS yang dapat memungkinkan eksekusi kode jarak jauh yang tidak autentikasi. Itu ditangani oleh Ivanti pada awal Januari 2025.
Namun, kekurangan ini telah dieksploitasi sebagai zero-hari oleh kelompok spionase cyber China-Nexus yang dijuluki UNC5337 untuk memberikan ekosistem malware bertelur, serta alat-alat lain seperti Dryhook dan FaseJam. Penyebaran dua strain malware terakhir belum dikaitkan dengan aktor ancaman yang diketahui.
Sejak itu, baik JPCERT/CC dan Cybersecurity dan Infrastructure Security Agency (CISA) AS telah mengungkapkan eksploitasi kerentanan yang sama untuk memberikan versi spawn yang diperbarui yang disebut Spawnchimera dan Resurge.
Awal bulan ini, Google-milik Mandiant juga mengungkapkan bahwa cacat keamanan lain dalam ICS (CVE-2025-22457) telah dipersenjatai untuk mendistribusikan Spawn, malware yang dikaitkan dengan kelompok peretasan Cina lain yang disebut UNC5221.
JPCERT/CC mengatakan saat ini tidak jelas apakah serangan menggunakan DSLogDrat adalah bagian dari kampanye yang sama yang melibatkan keluarga malware spawn yang dioperasikan oleh UNC5221.
Urutan serangan yang diuraikan oleh agensi memerlukan eksploitasi CVE-2025-0282 untuk menggunakan shell web perl, yang kemudian berfungsi sebagai saluran untuk menggunakan muatan tambahan, termasuk dslogdrat.
DSLogDrat, untuk bagiannya, memulai kontak dengan server eksternal melalui koneksi soket untuk mengirim informasi sistem dasar dan menunggu instruksi lebih lanjut yang memungkinkannya untuk menjalankan perintah shell, mengunggah/mengunduh file, dan menggunakan host yang terinfeksi sebagai proxy.
Pengungkapan itu muncul sebagai perusahaan intelijen ancaman Greynoise memperingatkan “lonjakan 9x dalam aktivitas pemindaian yang mencurigakan” yang menargetkan IC dan peralatan Ivanti Pulse Secure (IPS) dari lebih dari 270 alamat IP unik dalam 24 jam terakhir dan lebih dari 1.000 alamat IP unik dalam 90 hari terakhir.
Dari 255 alamat IP ini telah diklasifikasikan sebagai jahat dan 643 telah ditandai sebagai mencurigakan. IP jahat telah diamati menggunakan Tor Exit Node dan IP yang mencurigakan terkait dengan penyedia hosting yang kurang dikenal. Amerika Serikat, Jerman, dan akun Belanda untuk tiga negara sumber teratas.
“Lonjakan ini dapat menunjukkan pengintaian terkoordinasi dan kemungkinan persiapan untuk eksploitasi di masa depan,” kata perusahaan itu. “Meskipun belum ada CVE spesifik yang terkait dengan kegiatan pemindaian ini, lonjakan seperti ini sering mendahului eksploitasi aktif.”
