Malware DslogdRAT

Los investigadores de ciberseguridad advierten sobre un nuevo malware llamado DslogdRAT que se instala tras la explotación de una falla de seguridad ahora parcheada en Ivanti Connect Secure (ICS).

El malware, junto con un shell web, se “instaló explotando una vulnerabilidad de día cero en ese momento, CVE-2025-0282, durante ataques contra organizaciones en Japón alrededor de diciembre de 2024”.

CVE-2025-0282

CVE-2025-0282 se refiere a una falla crítica de seguridad en ICS que podría permitir la ejecución remota de código no autenticado. Ivanti la solucionó a principios de enero de 2025.

Sin embargo, esta deficiencia ha sido explotada como un ataque de día cero por un grupo de ciberespionaje con vínculos con China, denominado UNC5337, para distribuir el ecosistema de malware SPAWN, así como otras herramientas como DRYHOOK y PHASEJAM.

A principios de este mes, Mandiant, propiedad de Google, también reveló que otra falla de seguridad en ICS (CVE-2025-22457) se ha utilizado para distribuir SPAWN, un malware atribuido a otro grupo de piratas informáticos chino conocido como UNC5221.

Actualmente se desconoce si los ataque que utiliza DslogdRAT son parte una campaña que involucra la familia de malware SPAWN. La secuencia de ataque que se implica la explotación de CVE-2025-0282 para implementar un shell web Perl, que luego sirve como conducto para implementar cargas útiles adicionales como DslogdRAT.

 ¿Cuál es la función de DslogdRAT?

DsolgdRAT, inicia contacto con un servidor externo a través de una conexión de socket para enviar información básica del sistema, y espera instrucciones adicionales para realizar comandos de shell, carga y descarga de archivos y utilizar el mismo host infectado como proxy.

La revelación se produce cuando la empresa de inteligencia de amenazas GreyNoise advirtió sobre un “aumento de 9 veces en la actividad de escaneo sospechosa” dirigida a dispositivos ICS e Ivanti Pulse Secure (IPS) desde más de 270 direcciones IP únicas en las últimas 24 horas y más de 1000 direcciones IP únicas en los últimos 90 días.

De estas, 255 direcciones IP se clasificaron como maliciosas y 643 como sospechosas. Se observó que las IP maliciosas utilizaban nodos de salida de TOR, mientras que las IP sospechosas estaban vinculadas a proveedores de alojamiento menos conocidos. Estados Unidos, Alemania y los Países Bajos son los tres principales países de origen.

A continuación nuestras recomendaciones para este tipo de amenazas.

 Sophos Firewall

Podemos defendernos de estos ataques de malware con las tecnologías de Sophos, que constantemente contienen nuevas actualizaciones para mantenerse al día de nuevos tipos de malware.

PROTECCIÓN WEB:

El motor de protección web de Sophos cuenta con el respaldo de SophosLabs Intelix e incluye innovadoras tecnologías necesarias para identificar y bloquear las últimas amenazas web.

• Protección web avanzada
• Protección contra pharming
• Escaneado de HTTPS
• Control de aplicaciones no deseadas
• SophosLabs

Protección contra amenazas activas:

Sophos Firewall ofrece una respuesta inmediata y automatizada a las amenazas y a los adversarios activos para detenerlos en seco y evitar la propagación lateral.

• Compatible con varios feeds de amenazas, incluidos los de Sophos X-Ops y MDR/XDR
• Bloquea inmediatamente las amenazas activas sin necesidad de reglas de firewall
• Utiliza la Seguridad Sincronizada para aislar automáticamente los endpoints administrados y aportar visibilidad

CONTROL WEB:

Visibilidad y control completos sobre todo el tráfico web con herramientas de aplicación flexibles que funcionan según sus necesidades, con opciones de cumplimiento para actividad, cuotas, programaciones y conformado de tráfico según usuarios y grupos.

• Modelo de políticas de nivel empresarial de puerta de enlace web segura (SWG)
• Compatibilidad con Sophos DNS Protection
• Control de actividades basado en plantillas con políticas predefinidas del lugar de trabajo y de cumplimiento
• Funciones educativas y SafeSearch
• Imposición de tráfico completa
• Conformado de tráfico (QoS)

Sophos Intercept X Endpoint

Sophos Intercept X Endpoint proporciona una protección inigualable, ya que detiene los ataques avanzados antes de que afecten a sus sistemas. Las potentes herramientas de detección y respuesta para endpoints y de detección y respuesta ampliadas (EDR/XDR) permiten a su organización buscar, investigar y responder a actividades sospechosas e indicadores de ataque.

REDUCCIÓN DE LA SUPERFICIE DE AMENAZAS

• Protección web
• Control web
• Reputación de descargas
• Control de aplicaciones
• Control de periféricos
• Prevención de fugas de datos
• Bloqueo de servidor (lista de aplicaciones permitidas)
• Cifrado completo de disco

PREVENCIÓN DE AMENAZAS

• Protección contra archivos de ransomware (CryptoGuard)
• Protección contra el ransomware remoto (CryptoGuard)
• Protección contra el ransomware que ataca el registro de arranque maestro (MBR)
• Defensas contextuales:
  • Protección adaptativa contra ataques
• Defensas contextuales:
  • Advertencias de ataques críticos en toda la infraestructura
• Prevención de malware basada en IA con Deep Learning
• Escaneado de archivos antimalware
• Bloqueo de aplicaciones no deseadas (PUA)
• Búsquedas en la nube de Live Protection
• Análisis de comportamientos
• Antiexploits (+60 mitigaciones)
• Bloqueo de aplicaciones
• Interfaz de escaneado antimalware (AMSI)
• Detección de tráfico malicioso
• Sistema de prevención de intrusiones (IPS)
• Monitorización de integridad de archivos (servidores)