網路安全研究人員警告稱，一種名為 DslogdRAT 的新惡意軟體是在利用 Ivanti Connect Secure (ICS) 中現已修補的安全漏洞後安裝的。

JPCERT/CC 研究員 Yuma Masubuchi在周四發布的一份報告中表示，該惡意軟體及其 Web Shell「是在 2024 年 12 月左右針對日本組織的攻擊中利用當時的零日漏洞 CVE-2025-0282 安裝的」 。

CVE-2025-0282是指 ICS 中的一個嚴重安全漏洞，可能允許未經身份驗證的遠端程式碼執行。 Ivanti 於 2025 年 1 月初解決了這個問題。

然而，該漏洞被一個名為 UNC5337 的中國網路間諜組織利用為零日漏洞，傳播 SPAWN 惡意軟體生態系統以及 DRYHOOK 和 PHASEJAM 等其他工具。後兩種惡意軟體的部署尚未被歸咎於任何已知的威脅行為者。

此後，JPCERT/CC 和美國網路安全和基礎設施安全局 (CISA) 都揭露了利用相同漏洞來提供 SPAWN 的更新版本（稱為SPAWNCHIMERA和RESURGE）。

本月初，Google旗下的 Mandiant 也透露，ICS 中的另一個安全漏洞 (CVE-2025-22457) 已被用於傳播 SPAWN，SPAWN 是一種惡意軟體，據稱是由另一個被稱為 UNC5221 的中國駭客組織所為。

JPCERT/CC 表示，目前尚不清楚使用 DslogdRAT 的攻擊是否屬於 UNC5221 運營的 SPAWN 惡意軟體家族的同一活動。

該機構概述的攻擊序列包括利用 CVE-2025-0282 來部署 Perl Web Shell，然後將其作為部署其他有效載荷（包括 DslogdRAT）的管道。

就 DslogdRAT 而言，它透過套接字連接與外部伺服器發起聯繫，以發送基本系統訊息，並等待進一步的指令，以允許其執行 shell 命令、上傳/下載檔案以及使用受感染的主機作為代理。

此前，威脅情報公司 GreyNoise 警告稱，過去 24 小時內，針對 ICS 和 Ivanti Pulse Secure (IPS) 設備的“可疑掃描活動激增 9 倍”，來自超過270 個唯一 IP 位址，過去 90 天內有超過1,000 個唯一 IP 位址。

其中 255 個 IP 位址被歸類為惡意位址，643 個 IP 位址被標記為可疑位址。我們已經使用 TOR 出口節點觀察到了惡意 IP，並且可疑 IP 與鮮為人知的託管服務提供者相關聯。美國、德國、荷蘭佔前三大來源國。

該公司表示：“此次激增可能表明進行了協調偵察，並為未來的開發做好了準備。” “雖然目前還沒有特定的 CVE 與此掃描活動相關聯，但這種峰值通常先於主動利用。”