Grupos Chinos explotan vulnerabilidades en Ivanti para desplegar malware MetaRAT

Un grupo de ataque con base en China ha lanzado una campaña dirigida contra empresas japonesas de transporte marítimo y terrestre explotando vulnerabilidades críticas en Ivanti Connect Secure (ICS). La campaña, descubierta en abril de 2025, aprovecha dos vulnerabilidades graves para obtener acceso inicial a las redes objetivo y desplegar múltiples variantes del malware PlugX, incluyendo el MetaRAT y el Talisman PlugX, recientemente identificados.

Un grupo de ataque con base en China ha lanzado una campaña dirigida contra empresas de transporte y envío japonesas explotando vulnerabilidades críticas en Ivanti Connect Secure (ICS). La campaña, descubierta en abril de 2025, aprovecha dos vulnerabilidades graves para obtener acceso inicial a las redes objetivo y desplegar múltiples variantes de malware PlugX, incluyendo el MetaRAT y el Talisman PlugX, recién identificados. La cadena de ataque revela un enfoque sofisticado donde los hackers primero comprometen los sistemas ICS utilizando las vulnerabilidades CVE-2024-21893 y CVE-2024-21887. Una vez dentro, establecen un punto de apoyo instalando malware en los dispositivos objetivo. El grupo de atacantes luego lleva a cabo actividades detalladas de reconocimiento para mapear el entorno de la red y recopilar credenciales del sistema de los sistemas comprometidos. Utilizando credenciales robadas, particularmente información de cuentas privilegiadas de Active Directory, los atacantes se mueven lateralmente a través de la infraestructura de red de la organización objetivo.

Overview of the attack campaign (Source – LAC Watch)

Despliegan sistemáticamente variantes de PlugX en múltiples servidores internos para mantener la persistencia y expandir su control sobre el entorno comprometido. Este ataque multi-etapa demuestra una planificación cuidadosa y una comprensión de las estructuras de red empresariales. Los analistas de seguridad de LAC Watch identificaron el malware después de realizar un análisis forense en los sistemas Ivanti comprometidos.

Campaña de ataque

Descubrieron registros de errores críticos con el código ERR31093, que aparecen cuando los procesos ICS cargan cargas útiles SAML inválidas relacionadas con la explotación de CVE-2024-21893. Además, ejecutar la Herramienta de Verificación de Integridad reveló archivos sospechosos que coinciden con firmas de malware conocidas, incluyendo LITTLELAMB, WOOLTEA, PITSOCK y PITFUEL que habían sido documentados previamente en ataques similares. MetaRAT representa una nueva evolución en la familia de troyanos de acceso remoto PlugX. Esta variante ha existido desde al menos 2022 pero permaneció sin nombre hasta ahora.

MetaRAT execution flow (Source – LAC Watch)

Los investigadores de seguridad confirmaron que MetaRAT se ejecuta a través de carga lateral de DLL, una técnica que aprovecha los procesos legítimos de Windows para cargar código malicioso. El componente cargador, denominado mytilus3.dll, carga un archivo de código shell cifrado llamado materoll, lo descifra utilizando operaciones XOR con un valor de clave de 0xA6 y luego ejecuta el código shell decodificado en la memoria. El código shell realiza una descifrado AES-256-ECB adicional en la carga útil de MetaRAT almacenada, que luego se comprime con LZNT1.

Talisman execution flow (Source – LAC Watch)

Una vez descomprimida en la memoria, el malware MetaRAT real comienza la ejecución a través de funciones exportadas. Este enfoque de cifrado y compresión de múltiples capas dificulta significativamente la detección por herramientas de seguridad. MetaRAT implementa hash de API para obtener las funciones API de Windows necesarias y emplea mecanismos anti-depuración que detectan y destruyen las claves de descifrado cuando está presente un depurador. 

 

Detalles de la vulnerabilidad:-

ID de CVE	Descripción	Severidad	Impacto	Método de detección
CVE-2024-21893	Omisión de autenticación en Ivanti Connect Secure	Crítica	Procesamiento de cargas útiles SAML inválidas que conducen a la instalación de malware	Registros de errores críticos ERR31093 en los registros del sistema
CVE-2024-21887	Ejecución remota de código en Ivanti Connect Secure	Crítica	Habilita la intrusión inicial y el despliegue de malware	Archivos sospechosos creados (LITTLELAMB, WOOLTEA, PITSOCK, PITFUEL)

Las organizaciones que utilizan versiones afectadas de Ivanti Connect Secure deben aplicar inmediatamente los parches de seguridad y monitorear sus sistemas en busca de signos de compromiso. La presencia de registros de servicios sospechosos como “sihosts” o claves de registro llamadas “matesile” puede indicar infecciones activas de MetaRAT. Además, verificar la existencia de archivos de registro de pulsaciones de teclas llamados “VniFile.hlp” en el directorio %ALLUSERSPROFILE%\mates\ puede ayudar a identificar los sistemas afectados.

Fuentes:
https://cybersecuritynews.com/hackers-exploiting-vulnerabilities-in-ivanti-connect-secure/