CISA Peringatkan Malware RESURGE Bisa “Tidur” di Perangkat Ivanti

Badan Keamanan Siber dan Infrastruktur Amerika Serikat, CISA, merilis pembaruan analisis teknis terkait malware RESURGE yang digunakan dalam eksploitasi zero-day terhadap perangkat Ivanti Connect Secure.

Malware ini dikaitkan dengan eksploitasi kerentanan kritis CVE-2025-0282 dan dinilai mampu tetap tersembunyi (dormant) di dalam sistem hingga pelaku ancaman mencoba terhubung kembali ke perangkat yang telah dikompromikan.

Implant Pasif dengan Teknik Pengelakan Canggih

RESURGE pertama kali didokumentasikan pada Maret tahun lalu. Malware ini diketahui mampu bertahan setelah reboot, membuat webshell untuk mencuri kredensial, membuat akun baru, mereset kata sandi, serta melakukan eskalasi hak akses.

Dalam pembaruan terbarunya, CISA menjelaskan bahwa RESURGE merupakan file Linux Shared Object 32-bit bernama libdsupgrade.so yang berfungsi sebagai implant command-and-control (C2) pasif. Malware ini memiliki kapabilitas rootkit, bootkit, backdoor, dropper, proxy, dan tunneling.

Alih-alih melakukan komunikasi aktif (beaconing) ke server C2, RESURGE menunggu tanpa batas waktu hingga menerima koneksi TLS tertentu dari penyerang. Teknik ini memungkinkannya menghindari deteksi berbasis pemantauan lalu lintas jaringan.

Saat dimuat dalam proses “web”, malware akan mengaitkan (hook) fungsi accept() untuk memeriksa paket TLS yang masuk sebelum mencapai server web Ivanti. Ia mencari pola koneksi spesifik yang diidentifikasi menggunakan skema hashing sidik jari TLS CRC32.

Jika sidik jari tidak cocok, lalu lintas akan diteruskan ke server Ivanti yang sah sehingga aktivitas terlihat normal.

Sertifikat Palsu dan Mutual TLS

CISA juga mengungkap bahwa pelaku menggunakan sertifikat Ivanti palsu untuk memastikan mereka berkomunikasi dengan implant, bukan dengan server web resmi. Sertifikat tersebut tidak digunakan untuk enkripsi, melainkan untuk autentikasi dan verifikasi.

Karena sertifikat palsu dikirim tanpa enkripsi melalui internet, indikator ini berpotensi dimanfaatkan sebagai signature jaringan untuk mendeteksi kompromi aktif.

Setelah validasi sidik jari dan autentikasi berhasil, pelaku membangun akses jarak jauh aman melalui sesi Mutual TLS yang dienkripsi menggunakan protokol Elliptic Curve. Analisis statis menunjukkan implant akan meminta kunci EC milik pelaku dan memverifikasinya menggunakan kunci Certificate Authority (CA) yang telah ditanam secara hard-coded.

Dengan meniru lalu lintas TLS/SSH yang sah, RESURGE mampu mempertahankan persistensi dan beroperasi secara senyap dalam jangka panjang.

Varian Tambahan dan Persistensi Boot-Level

CISA juga menganalisis file lain bernama liblogblock.so, yang merupakan varian malware SpawnSloth. File ini berfungsi memanipulasi log untuk menyembunyikan aktivitas berbahaya pada perangkat yang terinfeksi.

File ketiga, dsmain, adalah skrip ekstraksi kernel yang menyematkan skrip open-source extract_vmlinux.sh serta utilitas BusyBox. Komponen ini memungkinkan RESURGE mendekripsi, memodifikasi, dan mengenkripsi ulang firmware coreboot, sekaligus memanipulasi sistem file untuk mempertahankan persistensi di tingkat boot.

Menurut CISA, karakteristik ini membuat RESURGE dapat tetap laten dalam sistem hingga pelaku mencoba melakukan koneksi jarak jauh. Dengan kata lain, perangkat Ivanti yang tampak normal berpotensi telah terinfeksi tanpa terdeteksi.

Dikaitkan dengan Aktor Tiongkok

Peneliti dari Mandiant menyebut kerentanan CVE-2025-0282 telah dieksploitasi sebagai zero-day sejak pertengahan Desember 2024 oleh aktor ancaman yang dikaitkan dengan Tiongkok, yang dilacak secara internal sebagai UNC5221.

CISA menyarankan administrator sistem untuk menggunakan indikator kompromi (IoC) terbaru yang telah diperbarui guna mendeteksi kemungkinan infeksi laten RESURGE dan segera melakukan pembersihan pada perangkat Ivanti yang terdampak.

Peringatan ini menegaskan bahwa meskipun tidak ada aktivitas mencurigakan yang terlihat, perangkat jaringan perimeter tetap harus diaudit secara menyeluruh untuk memastikan tidak ada implant yang tersembunyi.