Siber güvenlik araştırmacıları, Ivanti Connect Secure (ICS) ‘de şimdi paketlenmiş bir güvenlik kusurunun kullanılmasının ardından yüklenen DSLogdrat adlı yeni bir kötü amaçlı yazılım hakkında uyarıyorlar.
Kötü amaçlı yazılım, bir web kabuğu ile birlikte “Japonya’daki Japonya’daki kuruluşlara yönelik saldırılar sırasında CVE-2025-0282,” JPCert/CC araştırmacısı Yuma Masubuchi Perşembe günü yayınlanan bir raporda söyledi. “
CVE-2025-0282, ICS’de kimlik doğrulanmamış uzaktan kod yürütülmesine izin verebilecek kritik bir güvenlik kusurunu ifade eder. Ocak 2025’in başlarında Ivanti tarafından ele alındı.
Bununla birlikte, eksiklik, kötü amaçlı yazılımın yumurtlama ekosistemini ve Dryhook ve Fazjam gibi diğer araçları sunmak için UNC5337 olarak adlandırılan bir Çin-Nexus siber casusluk grubu tarafından sıfır gün olarak kullanıldı. Son iki kötü amaçlı yazılım suşunun konuşlandırılması, bilinen herhangi bir tehdit oyuncusuna atfedilmemiştir.
O zamandan beri, hem JPCERT/CC hem de ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Spawnchimera ve Resurge adlı SPAWN’in güncellenmiş sürümlerini sunmak için aynı güvenlik açığının sömürülmesini ortaya koydu.
Bu ayın başlarında, Google’ın sahip olduğu Mandiant, ICS’de (CVE-2025-22457) başka bir güvenlik kusurunun, UNC5221 olarak adlandırılan başka bir Çin hack grubuna atfedilen bir kötü amaçlı yazılım olan Spawn’ı dağıtmak için silahlandırıldığını ortaya koydu.
JPCERT/CC, DSLogdrat kullanan saldırıların UNC5221 tarafından işletilen Spawn Malware ailesini içeren aynı kampanyanın bir parçası olup olmadığının şu anda net olmadığını söyledi.
Ajans tarafından özetlenen saldırı dizisi, CVE-2025-0282’nin bir Perl Web kabuğunu dağıtmak için sömürülmesini gerektirir, bu da daha sonra DSLogdrat dahil ek yükler dağıtmak için bir kanal görevi görür.
DSLOGDRAT, temel sistem bilgilerini göndermek için bir soket bağlantısı üzerinden harici bir sunucu ile teması başlatır ve kabuk komutlarını yürütmesine, dosyaları yüklemesine/indirmesine ve enfekte olmuş ana bilgisayarı proxy olarak kullanmasına izin veren daha fazla talimat bekler.
Açıklama, tehdit istihbarat firması Greynoise, son 24 saat içinde 270’den fazla benzersiz IP adresinden ICS ve Ivanti Pulse Secure (IPS) cihazlarını hedefleyen “Şüpheli Tarama Etkinliğinde 9x artış” ve son 90 gün içinde 1.000’den fazla benzersiz IP adresi konusunda uyardı.
Bu 255 IP adresinden kötü niyetli ve 643’ü şüpheli olarak işaretlenmiştir. Kötü niyetli IP’ler TOR çıkış düğümleri kullanılarak gözlemlenmiştir ve şüpheli IP’ler daha az bilinen barındırma sağlayıcılarına bağlıdır. Amerika Birleşik Devletleri, Almanya ve Hollanda ilk üç kaynak ülkeyi oluşturmaktadır.
Şirket, “Bu artış, koordineli keşif ve gelecekteki sömürü için olası hazırlığı gösterebilir.” Dedi. Diyerek şöyle devam etti: “Henüz bu tarama etkinliğine belirli bir CVE bağlı olmasa da, bunun gibi sivri uçlar genellikle aktif sömürüden önce geliyor.”