Cybersecurity-onderzoekers waarschuwen voor een nieuwe malware genaamd DSLogdrat die wordt geïnstalleerd na de exploitatie van een nu afgestemde beveiligingsfout in Ivanti Connect Secure (ICS).
De malware, samen met een webshell, werden “geïnstalleerd door een zero-day kwetsbaarheid op dat moment, CVE-2025-0282, te exploiteren tijdens aanvallen op organisaties in Japan rond december 2024”, zei JPCERT/CC-onderzoeker Yuma Masubuchi in een rapport dat donderdag werd gepubliceerd.
CVE-2025-0282 verwijst naar een kritische beveiligingsfout in IC’s die niet-geauthenticeerde externe code-uitvoering mogelijk kunnen maken. Het werd begin januari 2025 aangepakt door Ivanti.
De tekortkoming is echter geëxploiteerd als een zero-day door een China-Nexus Cyber Espionage Group genaamd UNC5337 om het spawn-ecosysteem van malware te leveren, evenals andere tools zoals Dryhook en PhaseJam. De inzet van de laatste twee malware -stammen is niet toegeschreven aan een bekende dreigingsacteur.
Sindsdien hebben zowel JPCERT/CC als de US Cybersecurity en Infrastructure Security Agency (CISA) de exploitatie van dezelfde kwetsbaarheid onthuld om bijgewerkte versies van Spawn genaamd Spawnchimera te leveren en op te duiden.
Eerder deze maand onthulde Google-eigendom Mandiant ook dat een andere beveiligingsfout in ICS (CVE-2025-22457) is bewapend om Spawn te distribueren, een malware toegeschreven aan een andere Chinese hackgroep die UNC5221 wordt genoemd.
JPCERT/CC zei dat het momenteel niet duidelijk is of de aanvallen met behulp van DSLogDrat deel uitmaken van dezelfde campagne als de Spawn Malware -familie die wordt beheerd door UNC5221.
De aanvalsvolgorde die door het bureau wordt beschreven, houdt de exploitatie van CVE-2025-0282 in om een PERL-webshell te implementeren, die vervolgens dient als een leiding om extra payloads in te zetten, inclusief DSLogDrat.
DSLogdrat initieert van zijn deel contact met een externe server via een socketverbinding om basissysteeminformatie te verzenden en wacht op verdere instructies waarmee het shell -opdrachten kan uitvoeren, bestanden upload/download en de geïnfecteerde host als een proxy kan gebruiken.
De openbaarmaking komt als bedreigingsinlichtingenbedrijf Greynoise waarschuwde voor een “9x piek in verdachte scanactiviteit” gericht op ICS en Ivanti Pulse Secure (IPS) -apparatuur van meer dan 270 unieke IP -adressen in de afgelopen 24 uur en meer dan 1.000 unieke IP -adressen in de afgelopen 90 dagen.
Van deze 255 IP -adressen zijn geclassificeerd als kwaadaardig en 643 zijn als achterdochtig gemarkeerd. De kwaadaardige IP’s zijn waargenomen met behulp van tor-exit-knooppunten en verdachte IP’s zijn gekoppeld aan minder bekende hostingproviders. De Verenigde Staten, Duitsland en Nederland zijn goed voor de top drie bronlanden.
“Deze golf kan aangeven dat gecoördineerde verkenning en mogelijke voorbereiding op toekomstige uitbuiting”, zei het bedrijf. “Hoewel er nog geen specifieke CVE’s zijn gebonden aan deze scanactiviteit, gaan zulke spikes vaak vooraf aan actieve uitbuiting.”
