En enero de 2025, Ivanti emitió un aviso sobre la vulnerabilidad CVE-2025-0282 en su sistema Ivanti Connect Secure. JPCERT/CC reportó la explotación de esta vulnerabilidad en Japón desde finales de diciembre de 2024, antes de su divulgación oficial. Esta expansión de la vulnerabilidad ha sido objeto de interés por parte de diversos grupos de ataque.
Uno de los hallazgos más significativos fue la actualización de la familia de malware conocida como Spawn, que se puede propagar tras la explotación de la vulnerabilidad. En este contexto, el malware se identificó como "Spawnchimera", que ha integrado y mejorado diversas funciones de las versiones anteriores de Spawn, denominadas Spawnant, Spawnmole y Spawnsnail. Aunque la instalación y el proceso de inyección del malware no han cambiado significativamente, Spawnchimera presenta varias modificaciones clave en su comportamiento.
Modificaciones Destacadas de Spawnchimera
-
Comunicación entre Procesos: Anteriormente, la familia de Spawn se comunicaba a través de un puerto específico (8300) en 127.0.0.1. Spawnchimera ha cambiado este método, optando por un socket de dominio UNIX para la comunicación entre los procesos infectados. Esto complica la detección del malware, ya que herramientas como netstat no pueden identificar este tipo de tráfico malicioso.
-
Función para Corregir la Vulnerabilidad CVE-2025-0282: Spawnchimera incluye una función integrada para mitigar la vulnerabilidad CVE-2025-0282, que es un desbordamiento de búfer. El malware puede ajustar dinámicamente el uso de la función strncpy, limitando el tamaño de la copia a 256 bytes y alterando su comportamiento dependiendo del nombre del proceso. Este mecanismo permite que el malware prevenga intentos de explotación por parte de otros atacantes.
-
Nuevas Funciones de Decodificación: En versiones anteriores, las claves esenciales estaban codificadas en texto plano y eran exportadas a rutas de archivo específicas. Con Spawnchimera, estas claves son ahora codificadas y destruidas en el código mediante técnicas XOR, disminuyendo las posibilidades de que queden huellas del tráfico malicioso.
- Eliminación de Mensajes de Depuración: Spawnchimera ha eliminado ciertos mensajes de depuración de su código, lo que dificulta el análisis y rastreo por parte de investigadores de seguridad. Esta modificación sugiere un enfoque más sofisticado hacia la evasión de detección.
A lo largo de la evolución de Spawn a Spawnchimera, se observa que el malware se ha vuelto más complejo y menos detectable, lo que incrementa su eficacia y amenaza global. Los cambios no solo mejoran la capacidad de ataque y evasión del malware, sino que también presentan retos significativos a las herramientas de defensa actuales, lo que sugiere que la familia de Spawn está destinada a continuar siendo utilizada por los actores de amenazas.
Conclusión
Spawnchimera representa un avance en el desarrollo de malware, mostrando un alto grado de sofisticación en comparación con sus predecesores. La interacción dinámica con la vulnerabilidad CVE-2025-0282 y las modificaciones en el tráfico de comunicación hacen que este malware sea un reto serio para la seguridad cibernética. La información presentada puede resultar valiosa para aquellos que investigan y analizan el malware, situando a Spawnchimera en el centro de atención en la lucha contra las amenazas cibernéticas.
Referencias y Apéndice incluyen detalles sobre valores hash y rutas de archivo del malware confirmado, así como enlaces a advertencias de seguridad y estudios de caso sobre la explotación de Ivanti Connect Secure.