DslogdRAT: Malware Desplegado mediante Vulnerabilidad en Ivanti Connect Secure
Investigadores en ciberseguridad han identificado una nueva amenaza denominada DslogdRAT, un malware que se instala tras la explotación de una vulnerabilidad crítica (CVE-2025-0282) en Ivanti Connect Secure (ICS). Este ataque, dirigido principalmente a organizaciones en Japón a finales de 2024, combina el despliegue del RAT (Remote Access Trojan) con una web shell para mantener acceso persistente a los sistemas comprometidos.
Contexto Técnico del Ataque
El vector de ataque aprovechó una vulnerabilidad de día cero (zero-day) en ICS, una solución ampliamente utilizada para accesos VPN seguros. La vulnerabilidad, catalogada como CVE-2025-0282, permitió a los atacantes ejecutar código arbitrario sin autenticación previa. Según el análisis de JPCERT/CC, los atacantes desplegaron dos componentes clave:
- DslogdRAT: Un troyano de acceso remoto diseñado para robo de credenciales, ejecución de comandos y exfiltración de datos.
- Web Shell: Implementada como respaldo para mantener el control incluso si el RAT es detectado.
Características de DslogdRAT
El malware presenta funcionalidades avanzadas típicas de herramientas APT (Advanced Persistent Threat):
- Persistencia: Se registra como servicio en sistemas Windows y utiliza técnicas de ofuscación para evadir detección.
- Recolección de datos: Extrae credenciales almacenadas en navegadores, clientes de correo y gestores de contraseñas.
- Comunicación C2: Utiliza protocolos cifrados para comunicarse con servidores de comando y control (C2) alojados en infraestructuras comprometidas.
Implicaciones para la Seguridad Corporativa
Este caso subraya varios desafíos críticos:
- Parcheo oportuno: Ivanti emitió un parche para CVE-2025-0282, pero muchas organizaciones no lo aplicaron a tiempo.
- Detección de amenazas persistentes: La combinación de RAT + web shell dificulta la erradicación completa.
- Enfoque geográfico: Los ataques dirigidos a regiones específicas (como Japón) pueden aprovechar diferencias en prácticas de seguridad.
Recomendaciones de Mitigación
Las organizaciones que utilizan Ivanti ICS deben:
- Aplicar inmediatamente los parches más recientes para CVE-2025-0282.
- Monitorear logs de ICS en busca de actividades sospechosas, especialmente conexiones inusuales.
- Implementar soluciones EDR/XDR con capacidades de detección de comportamientos anómalos.
- Auditar cuentas privilegiadas y restringir accesos VPN según el principio de mínimo privilegio.
Para más detalles técnicos sobre el malware y los indicadores de compromiso (IOCs), consulta el informe original de JPCERT/CC: Fuente original.
