去年3月，美国网络安全和基础设施安全局（CISA）发布警告，称黑客利用名为Resurge的恶意软件针对未修补重大漏洞CVE-2025-0282的Ivanti Connect Secure（ICS）设备展开攻击。时隔近一年，更多细节被披露，关键在于黑客采用了极为隐蔽的手法，使该恶意程序能够长期潜伏在ICS设备中而不被发现。

2月26日，CISA更新了关于Resurge恶意软件的分析报告，指出该程序通常潜伏在受感染的ICS系统中，仅在攻击者尝试与ICS设备建立连接时才会激活。CISA研判，Resurge植入系统后会进入休眠状态，极难被察觉，因此至今仍构成严重威胁。

Resurge是JPCERT/CC披露的恶意软件SpawnChimera的变种，继承了SpawnChimera的多项能力，其中之一是导致ICS主机持续重启。但CISA指出，Resurge还具备其他功能，包括篡改完整性校验、修改文件、创建Web Shell并将其复制到ICS的启动磁盘，这些行为对受害组织构成更大威胁。

后续，CISA从关键基础设施中受感染的ICS设备获取了Resurge样本并进行分析，发现攻击者引入了先进的网络层规避检测技术，采用高级加密手段和伪造的TLS证书进行秘密通信。

该恶意程序文件名为libdsupgrade.so，是一个32位Linux共享对象文件，攻击者用它建立命令与控制（C2）通信。然而，该恶意软件同时具备rootkit、bootkit、后门、恶意程序投放工具（dropper）、代理服务器和隧道功能。其最特殊之处在于，它不会主动向C2服务器发送信标，而是等待特定的TLS入站流量触发启动。

Resurge会在TLS流量到达ICS网页服务器组件前进行检测，通过CRC32算法的指纹识别是否为攻击者发出的连接。攻击者还使用伪造的Ivanti证书，以确保通信对象是Resurge，而非ICS系统的网页服务器组件。

除解析Resurge的运行机制外，CISA还发现了SpawnSloth恶意软件的变种liblogblock.so，其用途是篡改ICS的事件日志文件；此外，还发现了一个新的攻击工具dsmain，用于协助Resurge解密和篡改ICS的固件镜像。