Netcrook Logo
👤 KERNELWATCHER
🗓️ 28 Feb 2026   🌍 North America

Furtivité dans l’ombre : le malware RESURGE reste dormant dans les appareils Ivanti, alerte la CISA

Une nouvelle alerte de la CISA révèle un implant malveillant rusé capable de rester caché pendant des mois dans des infrastructures critiques, échappant à la détection et menaçant une compromission persistante.

Dans une escalade frappante du risque cyber pour les réseaux d’entreprise, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) tire la sonnette d’alarme sur « RESURGE » - un implant malveillant sophistiqué capable d’infester silencieusement les appareils Ivanti Connect Secure, restant dormant jusqu’à ce que ses opérateurs décident de passer à l’action. Cette révélation fait suite à une enquête de plusieurs mois sur des attaques exploitant une vulnérabilité zero-day - CVE-2025-0282 - par un groupe de menaces suspecté d’être lié à la Chine. Désormais, les organisations de tous secteurs sont invitées à traquer cette menace insaisissable avant qu’elle ne s’active.

En bref

  • RESURGE est un implant malveillant furtif ciblant les appareils Ivanti Connect Secure via une vulnérabilité zero-day (CVE-2025-0282).
  • Le malware peut rester dormant et indétecté pendant de longues périodes, ne s’activant que lorsqu’il est contacté par un attaquant distant.
  • RESURGE utilise des techniques d’évasion avancées, dont des certificats falsifiés et des communications TLS/SSH furtives, pour éviter la détection.
  • Il altère les journaux et le firmware des appareils, rendant la remédiation et l’analyse forensique difficiles.
  • La CISA a publié de nouveaux indicateurs de compromission (IoCs) et exhorte les administrateurs système à rechercher d’éventuelles infections latentes.

L’histoire commence fin 2024, lorsque les chercheurs de Mandiant ont suivi un groupe lié à la Chine (UNC5337, soupçonné de liens avec UNC5221) exploitant des vulnérabilités Ivanti. L’outil privilégié des attaquants : RESURGE, un implant Linux Shared Object 32 bits (libdsupgrade.so) conçu pour la furtivité et la persistance. Contrairement aux malwares classiques, RESURGE ne « contacte pas la maison » et n’émet aucun signal. Il attend passivement une connexion TLS très spécifique, initiée par l’attaquant - identifiée grâce à une méthode d’empreinte unique - avant d’activer sa charge utile.

Cette approche permet à RESURGE d’échapper à la plupart des outils de surveillance réseau. Une fois l’attaquant connecté, l’implant authentifie la session à l’aide d’un faux certificat Ivanti - envoyé en clair, offrant ironiquement aux défenseurs une rare signature réseau pour détecter une compromission active. Après authentification, une session Mutual TLS sécurisée est établie, imitant un trafic légitime et rendant l’intrusion presque invisible pour les défenseurs.

Mais les capacités de RESURGE ne s’arrêtent pas là. Il peut créer des webshells, élever ses privilèges, réinitialiser des mots de passe et même survivre aux redémarrages de l’appareil. Un module compagnon, SpawnSloth (liblogblock.so), manipule les journaux de l’appareil pour effacer ses traces, tandis qu’un autre composant, dsmain, permet aux attaquants de déchiffrer et modifier le firmware coreboot - assurant leur persistance au niveau le plus profond du système.

Jeff Pollard de Forrester résume parfaitement le cauchemar des défenseurs : « Cette combinaison crée énormément de friction pour les défenseurs, qui pourraient croire avoir résolu le problème alors que l’implant reste présent dans l’environnement. Et comme les journaux ne sont pas fiables, ils pourraient ne pas le savoir. »

L’avertissement de la CISA est clair : le vrai danger n’est pas seulement la compromission initiale, mais la possibilité d’une persistance à long terme et indétectée. L’agence exhorte toutes les organisations utilisant des appliances Ivanti Connect Secure à examiner les derniers indicateurs de compromission et à effectuer des analyses forensiques approfondies - d’autant plus que les méthodes traditionnelles basées sur les journaux peuvent être peu fiables.

Alors que les menaces cyber deviennent toujours plus sophistiquées, RESURGE rappelle de façon glaçante : le malware le plus dangereux est peut-être celui que vous ne voyez jamais - jusqu’à ce qu’il soit trop tard. Pour les défenseurs, la vigilance et la chasse proactive aux menaces sont désormais la seule défense viable contre cette nouvelle génération d’adversaires furtifs et persistants.

WIKICROOK

  • Zero : Une vulnérabilité zero-day est une faille de sécurité cachée, inconnue de l’éditeur du logiciel, sans correctif disponible, ce qui la rend très précieuse et dangereuse pour les attaquants.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui demandant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • Webshell : Un webshell est un programme caché téléchargé par des pirates sur un site compromis, leur donnant un contrôle à distance et un accès non autorisé, comme une porte dérobée secrète.
  • Mutual TLS : Le Mutual TLS est un protocole où le client et le serveur vérifient mutuellement leur identité à l’aide de certificats, garantissant une communication sécurisée et chiffrée entre les parties.
  • Indicateurs de compromission (IoCs) : Les indicateurs de compromission (IoCs) sont des indices comme des noms de fichiers, des adresses IP ou des fragments de code qui aident à détecter si un système informatique a été compromis.
RESURGE Ivanti malware
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news