security

RESURGE: el malware que duerme en tu Ivanti hasta que decides buscarlo

Carlos Ruiz

27 feb. 2026 — 1 min read

¿Cómo un malware puede estar "dormido" en tu infraestructura?

RESURGE no es tu malware típico que beaconea constantemente al C2. Es un implant pasivo que puede estar latente indefinidamente en dispositivos Ivanti Connect Secure, esperando pacientemente una conexión TLS específica del atacante.

CISA acaba de actualizar su análisis técnico del malware, revelando detalles preocupantes: RESURGE utiliza técnicas sofisticadas de evasión a nivel de red y un sistema de autenticación que le permite ocultarse como tráfico legítimo de Ivanti.

La mecánica del camuflaje perfecto

El implant se carga bajo el proceso 'web' y hookea la función 'accept()' para inspeccionar paquetes TLS entrantes antes de que lleguen al servidor web. Usa un esquema de hashing CRC32 para identificar fingerprints específicos del atacante.

Si el fingerprint no coincide, el tráfico se dirige al servidor Ivanti legítimo. Pero aquí está el truco: el atacante también usa un certificado Ivanti falso para autenticación. No es para cifrar comunicación, sino para verificar que están hablando con RESURGE y no con el servidor real.

Una vez validado, establecen una sesión Mutual TLS encriptada con protocolo Elliptic Curve. Para cualquier monitor de red, parece tráfico TLS/SSH completamente legítimo.

El alcance real del problema

RESURGE puede sobrevivir reinicios, crear webshells para robar credenciales, crear cuentas, resetear passwords y escalar privilegios. Pero lo más preocupante es su capacidad de manipular firmware coreboot y contenidos de filesystem para persistencia a nivel de boot.

El malware incluye variantes como SpawnSloth (liblogblock.so) para tampering de logs y dsmain, un script que embeds extract_vmlinux.sh y utilidades BusyBox para manipular imágenes de firmware.

¿Dónde encaja esto en tu stack de seguridad?

Si tienes Ivanti Connect Secure en tu infraestructura, necesitas asumir compromiso hasta probar lo contrario. Los IoCs de CISA incluyen los hashes específicos de los archivos maliciosos, pero el certificado falso enviado sin cifrar puede servir como signature de red.

Para equipos de IR: este caso demuestra por qué el monitoring pasivo de red no es suficiente contra implants sofisticados. RESURGE puede estar durmiendo en tu perímetro, esperando órdenes que pueden llegar meses después de la infección inicial.

La lección más dura: los atacantes chinos detrás de UNC5221 explotaron CVE-2025-0282 como zero-day desde diciembre 2024. La ventana entre compromiso inicial y detección puede ser enorme con este tipo de malware latente.

Fuente original: BleepingComputer

a man sitting at a desk in front of a laptop computer

OpenAI lanza GPT-5.4: el modelo más capaz para trabajo profesional

Control de ordenadores nativo y contexto de 1M tokens OpenAI ha lanzado GPT-5.4, su modelo frontier más capaz para tareas profesionales complejas. La principal novedad es la capacidad nativa de control de ordenadores, que permite a los agentes operar sistemas informáticos completos mediante capturas de pantalla y comandos de

Sunlight breaks through dramatic clouds over bridge cables

Amazon Bedrock lanza Projects API compatible con OpenAI para aislar cargas de trabajo AI

Nueva API para organizar aplicaciones AI a nivel empresarial Amazon Bedrock ha lanzado la Projects API compatible con OpenAI, proporcionando aislamiento a nivel de aplicación para cargas de trabajo de IA generativa. La nueva API permite a las organizaciones gestionar múltiples aplicaciones, entornos y equipos con control de acceso granular

Anthropic vs Pentágono: el precedente que podría cambiar las reglas del juego en IA

¿Qué significa realmente "riesgo de cadena de suministro"? La designación de Anthropic como "riesgo de cadena de suministro" por parte del Departamento de Guerra estadounidense es históricamente inédita. Esta etiqueta, tradicionalmente reservada para adversarios extranjeros como empresas chinas o rusas, nunca se había aplicado públicamente a

Sticky notes with words and drawings on wooden table.

OpenAI define 5 modelos de valor para evolucionar de pilotos AI a reinvención empresarial

De experimentos aislados a transformación sistemática OpenAI ha publicado un framework estratégico que identifica cinco modelos de valor para que las organizaciones evolucionen desde pilotos AI dispersos hacia reinvención empresarial sistemática. La propuesta plantea que las empresas líderes no serán las que ejecuten más pilotos, sino las que comprendan qué