La Agencia de Seguridad Cibernética e Infraestructura de Estados Unidos (CISA) ha ampliado la información técnica sobre una amenaza silenciosa que ha estado aprovechando un fallo crítico en dispositivos Ivanti Connect Secure: un implante malicioso bautizado como RESURGE. Este software malicioso no se comporta como el típico backdoor que «grita» al conectarse a su centro de mando; en lugar de eso, permanece en espera dentro del dispositivo hasta que el atacante inicia una conexión muy concreta, lo que dificulta su detección por herramientas convencionales de monitoreo de red.
RESURGE se presenta como una librería compartida de 32 bits para Linux —un archivo tipo .so— que se instala en el appliance afectado y añade capacidades de rootkit, persistencia en el arranque, puertas traseras y funciones de proxy y túnel. Técnicamente, cuando la librería se carga en el proceso web del dispositivo, intercepta la llamada de sistema accept() para inspeccionar las conexiones TLS entrantes antes de que lleguen al servidor legítimo. Solo si la conexión cumple una huella TLS concreta —calculada con un esquema CRC32 aplicado al fingerprint— y se autentica con un certificado falsificado que imita a Ivanti, la implant responde; en caso contrario, el tráfico se entrega al servidor legítimo, preservando la funcionalidad normal y reduciendo las señales de compromiso visible.
Además, la comunicación remota posterior se establece mediante una sesión TLS mutua cifrada con criptografía de curvas elípticas. El implante solicita la clave EC del operador remoto y verifica esa clave con una clave de autoridad de certificación EC embebida en su código, lo que le permite mantener un canal cifrado y difícil de distinguir del tráfico legítimo TLS o SSH. Esa técnica de mimetismo, junto con el hecho de que el certificado falsificado se transmite sin cifrar en un punto del protocolo, ofrece a los defensores una oportunidad: esa firma de certificado no cifrada puede servir como indicador de compromiso en el tráfico de red si se busca expresamente.
El análisis publicado por CISA también detalla componentes adicionales que amplían la capacidad del implante para ocultar sus huellas y persistir en el sistema: una variante conocida de SpawnSloth (identificada como liblogblock.so) diseñada para alterar registros y borrar rastros de actividad maliciosa, y un script llamado dsmain que incorpora utilidades como extract_vmlinux.sh y BusyBox para extraer y manipular imágenes de firmware. Gracias a estas herramientas, los atacantes pueden incluso modificar imágenes de coreboot y dejar modificaciones a nivel de arranque que sobreviven a reinicios o a limpiezas superficiales.
La vulnerabilidad explotada, registrada como CVE-2025-0282, fue utilizada como zero-day desde diciembre de 2024 por un actor al que algunas firmas de respuesta a incidentes han asociado con un grupo vinculado a China (rastreado internamente como UNC5221). Entre las capacidades observadas en incidentes previos se incluyen la creación de webshells para robo de credenciales, la generación de cuentas locales, restablecimientos de contraseñas y escalada de privilegios, lo que convierte a los dispositivos comprometidos en plataformas valiosas para movimientos laterales y exfiltración de información.
La característica más preocupante desde el punto de vista operativo es la latencia y dormancia del implante: puede estar inactivo durante largos periodos y no mostrar actividad saliente hasta que el operador remoto intente conectarse, por lo que un equipo puede parecer sano mientras aloja una amenaza lista para activarse. Por eso CISA insiste en que los administradores no se confíen ante la ausencia de signos evidentes de compromiso y utilicen las firmas y los indicadores proporcionados para buscar infecciones latentes.
Para quienes gestionan Ivanti Connect Secure y dispositivos similares, la hoja de ruta práctica pasa por combinar varias medidas: aplicar los parches y mitigaciones que publique el proveedor, comparar los archivos y sumas de verificación proporcionadas por los análisis con los ficheros presentes en los equipos, buscar la presencia de las librerías y scripts asociados, y examinar el tráfico TLS en busca de patrones atípicos (incluido el certificado apócrifo que, según CISA, circula sin cifrar en las fases de autenticación). Cuando haya confirmación de compromiso, las acciones pueden incluir el aislamiento del equipo, la restauración desde imágenes confiables y, en entornos críticos, la reconstrucción completa del appliance para eliminar cualquier rastro de manipulación del firmware o del arranque.
Si quieres leer el documento técnico extendido de CISA, la agencia publicó un informe de análisis que describe estos mecanismos con más detalles y proporciona indicadores de compromiso: informe de CISA sobre RESURGE. CISA también había emitido previamente una alerta inicial donde resumía las capacidades del malware y su persistencia: alerta anterior de CISA. Para la referencia pública de la vulnerabilidad puedes consultar la ficha en la base de datos nacional de vulnerabilidades: CVE-2025-0282 en NVD. Los análisis y reportajes de prensa técnica también han cubierto el caso y contextualizan la atribución y modus operandi; por ejemplo, este resumen periodístico recoge los puntos clave y enlaces relevantes: BleepingComputer sobre RESURGE. Finalmente, si administras productos Ivanti, conviene visitar la sección oficial de avisos de seguridad del proveedor para aplicar sus indicaciones: avisos de seguridad de Ivanti.
En resumen, RESURGE representa una evolución en técnicas de intrusión: menos ruido, mayor mimetismo y persistencia a muy bajo perfil. La clave para mitigar este tipo de amenazas no es sólo parchear, sino también buscar activamente señales sutiles en la red y en los sistemas, y estar preparado para medidas de remediación profundas cuando sea necesario. La buena noticia es que, con la información técnica ya publicada por CISA y otras entidades, los equipos de seguridad cuentan con herramientas y firmas para detectar y erradicar estas infecciones si actúan con rapidez y de forma coordinada.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...