今年1月资安业者Ivanti修补旗下SSL VPN系统Connect Secure重大层级漏洞CVE-2025-0282，后续资安业者Mandiant、日本电脑危机处理暨协调中心（JPCERT/CC）揭露相关攻击行动，如今美国也公布相关调查结果，指出骇客使用的恶意软件出现新的变种。

3月28日美国网路安全暨基础设施安全局（CISA）发布恶意软件攻击警告，要企业组织对名为Resurge的恶意软件提高警觉，因为攻击者渗透受害组织的管道，就是针对尚未修补CVE-2025-0282的Ivanti Connect Secure（ICS）设备下手而得逞。

此恶意程序为JPCERT/CC揭露的SpawnChimera变种，Resurge具备SpawnChimera多种能力，其中一种是会让ICS主机不断重开机，然而CISA指出，Resurge具备其他功能，而会对受害组织造成更大的威胁。

这些功能包括：建立Web Shell、操控完整性检查、窜改文件。其中，骇客建立的Web Shell能挖掘帐密资料、建立新帐号、重设密码，以及提升权限。此外，Resurge还会将Web Shell複製到开机磁碟，从而摆弄正在执行的coreboot映像档。

究竟有多少企业组织受害？CISA并未说明，但他们提供了入侵指标（IoC），以及详细的恶意软件调查结果。

他们在一家受害的关键基础设施（CI）环境当中，看到骇客部署的3个恶意文件，当中包含前述的Resurge，以及SpawnSloth的变种程序。其中，攻击者利用SpawnSloth使用SSH连线，建立C2通讯。

最后一个是骇客自製的二进位文件，内有开源Shell指令码与开机工具Busybox相关的小工具，主要功能。其中，Shell指令码是用来撷取vmlinux映像档，而BusyBox则是拿来下载有效酬载并执行。