A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) expandiu a informação técnica sobre uma ameaça silenciosa que tem aproveitado uma falha crítica em dispositivos Ivanti Connect Secure: um implante malicioso batizado como RESURGE. Este software malicioso não se comporta como o típico backdoor que "grita" ao se conectar ao seu centro de comando; em vez disso, permanece em espera dentro do dispositivo até que o atacante inicia uma conexão muito concreta, o que dificulta sua detecção por ferramentas convencionais de monitoramento de rede.
O RESURGE é apresentado como uma biblioteca partilhada de 32 bits para o Linux — um ficheiro tipo .so — instalado no appliance afetado e adiciona capacidades de rootkit, persistência no arranque, portas traseiras e funções de proxy e túnel. Tecnicamente, quando a livraria se carrega no processo web do dispositivo, intercepta a chamada de sistema accept () para inspeccionar as conexões TLS entrantes antes de chegarem ao servidor legítimo. Só se a conexão cumprir uma pegada TLS concreta — calculada com um esquema CRC32 aplicado ao fingerprint — e se autentica com um certificado falsificado que imita Ivanti, a implant responde; caso contrário, o tráfego é entregue ao servidor legítimo, preservando a funcionalidade normal e reduzindo os sinais de compromisso visível.
Além disso, a comunicação remota posterior é estabelecida através de uma sessão TLS mútua cifrada com criptografia de curvas elípticas. O implante solicita a chave EC do operador remoto e verifica essa chave com uma chave de autoridade de certificação EC embebida em seu código, o que lhe permite manter um canal cifrado e difícil de distinguir do tráfego legítimo TLS ou SSH. Essa técnica de mimetismo, juntamente com o facto de o certificado falsificado ser transmitido sem cifrar num ponto do protocolo, oferece aos defensores uma oportunidade: essa assinatura de certificado não cifrada pode servir como indicador de compromisso no tráfego de rede se for expressamente procurada.
A análise publicada pela CISA também detalha componentes adicionais que ampliam a capacidade do implante para ocultar seus vestígios e persistir no sistema: uma variante conhecida de SpawnSloth (identificada como liblogblock.so) desenhada para alterar registros e remover rastros de atividade maliciosa, e um programa chamado dsmain que incorpora utilitários como extract_vmlinux.sh e BusyBox para extrair e manipular imagens de firmware. Graças a estas ferramentas, os atacantes podem até modificar imagens coreboot e deixar modificações a nível de arranque que sobrevivem a reinícios ou a limpezas superficiais.
A vulnerabilidade explorada, registrada como CVE-2025-0282, foi utilizada como zero-day desde dezembro de 2024 por um ator que algumas assinaturas de resposta a incidentes têm associado a um grupo vinculado à China (rastreado internamente como UNC5221). Entre as capacidades observadas em incidentes anteriores incluem-se a criação de webshells para roubo de credenciais, a geração de contas locais, restabelecimentos de senhas e escalada de privilégios, tornando os dispositivos comprometidos em plataformas valiosas para movimentos laterais e exfiltração de informação.
A característica mais preocupante do ponto de vista operacional é a latência e dominância do implante: Pode estar inactivo durante longos períodos e não mostrar atividade saliente até que o operador remoto tente ligar-se, pelo que um computador pode parecer saudável enquanto aloja uma ameaça pronta para se activar. Por isso, CISA insiste que os administradores não se confiem na ausência de sinais evidentes de compromisso e utilizem as assinaturas e os indicadores fornecidos para procurar infecções latentes.
Para aqueles que gerem Ivanti Connect Secure e dispositivos semelhantes, o roteiro prático passa por combinar várias medidas: aplicar os adesivos e mitigações que publica o fornecedor, comparar os arquivos e somas de verificação fornecidas pelas análises com os arquivos presentes nos equipamentos, procurar a presença das livrarias e scripts associados, e examinar o tráfego TLS em busca de padrões atípicos (incluindo o certificado apócrifo que, segundo a CISA, circula sem cifrar nas fases de autenticação). Quando houver confirmação de compromisso, as ações podem incluir o isolamento do equipamento, a restauração de imagens confiáveis e, em ambientes críticos, a reconstrução completa do appliance para eliminar qualquer rastro de manipulação do firmware ou do arranque.
Se você quer ler o documento técnico estendido da CISA, a agência publicou um relatório de análise que descreve esses mecanismos com mais detalhes e fornece indicadores de compromisso: Relatório do CISA sobre o RESURGE. CISA também havia emitido previamente um alerta inicial onde resumia as capacidades do malware e sua persistência: alerta anterior de CISA. Para a referência pública da vulnerabilidade, você pode consultar a ficha na base de dados nacional de vulnerabilidades: CVE-2025-0282 em NVD. As análises e reportagens de imprensa técnica também cobriram o caso e contextualizam a atribuição e modus operandi; por exemplo, este resumo jornalístico recolhe os pontos chave e links relevantes: BleepingComputer sobre RESURGE. Finalmente, se você administra produtos Ivanti, a seção oficial de avisos de segurança do fornecedor deve ser consultada para aplicar as suas indicações: avisos de segurança de Ivanti.
Em suma, o RESURGE representa uma evolução em técnicas de intrusão: menos ruído, maior mimetismo e persistência a muito baixo perfil. A chave para mitigar este tipo de ameaças não é apenas um sistema transdérmico, mas também procurar activamente sinais subtis na rede e nos sistemas, e estar preparado para medidas de remediação profundas quando necessário. A boa notícia é que, com a informação técnica já publicada pela CISA e por outras entidades, as equipes de segurança contam com ferramentas e assinaturas para detectar e erradicar essas infecções se agirem rapidamente e de forma coordenada.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...