Una sofisticada campaña de malware dirigida a los dispositivos VPN seguros IVANTI CONECT ha estado explotando activamente vulnerabilidades críticas CVE-2025-0282 y CVE-2025-22457 desde diciembre de 2024.
Los ataques en curso demuestran técnicas avanzadas de amenaza persistente, desplegando múltiples familias de malware, incluidas MdifyLoader, Cobalt Strike Beacon, VShell y FSCan para establecer el acceso a largo plazo a las redes comprometidas.
El ataque comienza con los actores de amenaza que obtienen acceso inicial a través de dispositivos seguros vulnerables de Ivanti Connect, posteriormente desplegando una compleja cadena de infecciones diseñada para evadir la detección y mantener la persistencia.
La carga útil principal, Cobalt Strike Beacon versión 4.5, representa una variante personalizada que se desvía de las implementaciones estándar al incorporar el cifrado RC4 con una clave codificada “Google” en lugar del típico esquema de cifrado XOR de un byte.
Analistas de JPCert/CC Eyes identificado La sofisticada metodología de ejecución de la campaña de malware, que aprovecha los archivos del sistema legítimos y las técnicas de carga lateral de DLL para enmascarar actividades maliciosas.
Los atacantes demuestran especial atención a la seguridad operativa, empleando múltiples capas de ofuscación y cifrado para complicar los esfuerzos de análisis y detección.
Mecanismos de cargador avanzados y tácticas de evasión
La sofisticación técnica de la campaña es ejemplificada por MdifyLoader, un cargador personalizado basado en el proyecto Libpeconv de código abierto.
Flujo de ejecución del golpe de cobalto a través de MdifyLoader (fuente – JPCERT)
Este cargador implementa una arquitectura de tres componentes que requiere un archivo ejecutable, el cargador en sí y un archivo de datos cifrado para una ejecución exitosa.
La clave de cifrado se deriva del valor hash MD5 del archivo ejecutable, creando una dependencia que complica el análisis aislado.
MdifyLoader incorpora una extensa ofuscación de código a través de un código de basura estratégicamente ubicado que contiene llamadas de función sin sentido y referencias variables.
Estas técnicas de ofuscación incluyen valores de dirección relativa y referencias de valor de retorno de funciones, lo que hace que la desobfuscación automatizada sea un desafío.
El cargador se dirige a archivos legítimos como el compilador Java RMI (RMIC.exe) y Push_detect.exe para establecer la ejecución inicial, lo que demuestra la preferencia de los atacantes por las técnicas de vida de la tierra.
El componente FSCAN ejemplifica el enfoque de varias etapas de la campaña, utilizando un cargador python.exe para ejecutar el malicioso python311.dll a través de la carga lateral de DLL.
El flujo de ejecución de FSCAN (fuente – JPCERT)
Esta implementación, basada en la herramienta FilelessRemotepe, incluye un mecanismo ETW Bypass dirigido a NTDLL.DLL, diseñada específicamente para evadir las soluciones de detección y respuesta de punto final.
La carga útil final descifra con el cifrado RC4 con la clave codificada “99999999” antes de ejecutar en la memoria.
Después del compromiso inicial, los actores de amenaza establecen persistencia a través de múltiples mecanismos, incluida la creación de nuevas cuentas de dominio, registrar malware como servicios de Windows y aprovechar el programador de tareas para la ejecución periódica.
La campaña demuestra una actividad sostenida con los atacantes que realizan ataques de fuerza bruta contra servidores de Active Directory, FTP, MSSQL y SSH mientras explotan la vulnerabilidad de SMB MS17-010 para el movimiento lateral en los sistemas no parpadeados.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
