Para peneliti keamanan siber memperingatkan adanya ancaman malware baru bernama DslogdRAT, yang dipasang setelah eksploitasi celah keamanan di Ivanti Connect Secure (ICS) — celah yang kini sudah ditambal.

Menurut laporan dari peneliti JPCERT/CC, Yuma Masubuchi, malware ini, bersama dengan sebuah web shell, disebarkan melalui celah zero-day CVE-2025-0282 pada serangan terhadap organisasi di Jepang sekitar Desember 2024. Celah ini memungkinkan eksekusi kode jarak jauh tanpa autentikasi dan telah diperbaiki oleh Ivanti pada Januari 2025.

Eksploitasi CVE-2025-0282 awalnya dimanfaatkan oleh kelompok spionase dunia maya berbasis Tiongkok yang dikenal sebagai UNC5337. Mereka menggunakan kerentanan ini untuk mengirimkan rangkaian malware SPAWN, serta alat tambahan seperti DRYHOOK dan PHASEJAM. Namun, untuk dua nama terakhir, belum ada atribusi pasti ke kelompok mana pun.

Dalam perkembangannya, JPCERT/CC dan Cybersecurity and Infrastructure Security Agency (CISA) dari AS melaporkan bahwa kerentanan tersebut juga digunakan untuk menyebarkan varian baru SPAWN, yakni SPAWNCHIMERA dan RESURGE.

Pada saat yang sama, perusahaan keamanan siber Mandiant (anak perusahaan Google) juga menemukan bahwa celah lain di ICS (CVE-2025-22457) dimanfaatkan oleh kelompok lain dari Tiongkok, UNC5221, untuk mendistribusikan malware SPAWN.

Belum dapat dipastikan apakah DslogdRAT berkaitan langsung dengan kampanye malware SPAWN yang dijalankan UNC5221. Namun, JPCERT/CC menjelaskan bahwa pola serangan bermula dari eksploitasi CVE-2025-0282, dilanjutkan dengan pemasangan web shell berbasis Perl, yang kemudian digunakan untuk mengunduh dan menjalankan payload tambahan seperti DslogdRAT.

Setelah aktif, DslogdRAT terhubung ke server eksternal melalui socket, mengirimkan informasi dasar tentang sistem yang terinfeksi, dan menunggu perintah lebih lanjut. Malware ini dapat mengeksekusi perintah shell, mengunggah dan mengunduh file, serta menjadikan perangkat korban sebagai proxy.

Sementara itu, perusahaan intelijen ancaman GreyNoise melaporkan adanya lonjakan signifikan — sembilan kali lipat — dalam aktivitas pemindaian mencurigakan terhadap perangkat ICS dan Ivanti Pulse Secure (IPS) dalam 24 jam terakhir. Lebih dari 270 alamat IP unik terlibat dalam serangan ini, dan lebih dari 1.000 IP terdeteksi dalam tiga bulan terakhir.

Dari total itu, 255 IP dikategorikan berbahaya (banyak di antaranya melalui TOR exit nodes) dan 643 IP dicurigai berasal dari penyedia hosting kecil. Amerika Serikat, Jerman, dan Belanda tercatat sebagai tiga negara asal utama aktivitas tersebut.

GreyNoise mengingatkan bahwa peningkatan ini bisa menjadi indikasi dari pengintaian terkoordinasi dan persiapan eksploitasi aktif di masa mendatang, meskipun belum ada CVE spesifik yang dihubungkan langsung dengan aktivitas pemindaian tersebut.