CISA Sounds the Alarm on Dormant Malware
The Cybersecurity and Infrastructure Security Agency just dropped something that should make every Ivanti customer sit up straight. RESURGE—a malicious implant that's been quietly exploiting CVE-2025-0282—can remain dormant on compromised Ivanti Connect Secure devices, according to CISA's latest disclosure reported by BleepingComputer. Dormant means it's sitting there. Waiting. That's the real nightmare scenario.
And here's the part that stings: you might not know it's there.
What We Know
CVE-2025-0282 is a zero-day vulnerability affecting Ivanti Connect Secure appliances. The flaw allows unauthenticated attackers to inject arbitrary code—meaning they can plant RESURGE without needing valid credentials. CISA's cyber attack statistics show that zero-day exploits targeting remote access solutions remain among the highest-value targets for state-sponsored and criminal actors alike.
RESURGE isn't your typical malware that screams its presence with ransomware notifications or data exfiltration alerts. It's a backdoor implant designed for persistence and stealth.
BleepingComputer's reporting indicates that affected organizations may have been compromised months ago without detection. The dormancy feature—that's the technical term for the malware going silent and waiting for activation commands—is particularly nasty because it extends the dwell time attackers have inside your network.
How It Works
The attack chain is straightforward in the worst way possible. An attacker exploits CVE-2025-0282 to gain code execution on an Ivanti Connect Secure device. From there, they plant the RESURGE implant. The malware then enters dormancy mode, essentially becoming invisible to most detection mechanisms. It's not making outbound connections, it's not consuming resources, it's not triggering behavioral alerts.
Only when activated—potentially weeks or months later—does it become a live threat.
This architecture reveals sophisticated threat actor thinking. Why risk immediate detection when you can establish a foothold, let defensive teams relax, and then activate when you're ready to move laterally through the network? It's a chess move, not a smash-and-grab.
Why It Matters
Ivanti Connect Secure is deployed in thousands of enterprises worldwide. If you're managing remote access infrastructure, there's a decent chance you've got one of these appliances sitting at your perimeter. So why does this matter? Because the assumption that your appliances are clean post-patching might be wrong.
CISA cyber security evaluation tools like CSET can help identify exposure, but they won't reveal an already-implanted backdoor if you're not looking at the right forensic indicators. The real question is whether your organization has actually conducted post-exploitation forensics on affected devices, or just applied the patch and moved on.
Frankly, this was avoidable had Ivanti's development practices caught this before it went public. But here we are.
Next Steps
First: patch immediately if you haven't. Second: don't stop there. You need to conduct forensic analysis on every Ivanti Connect Secure device in your environment to determine if RESURGE has been installed. That means memory dumps, file system analysis, and connection logs going back months.
Third: assume you might be compromised and act accordingly. Implement enhanced monitoring on your Ivanti devices specifically looking for RESURGE signatures and behavioral indicators that CISA will publish in updated advisories.
And consider this a forcing function to reassess your zero-trust architecture for remote access. Relying on a single perimeter appliance—even a patched one—isn't sufficient anymore. Layer additional authentication, segment your network aggressively, and reduce the blast radius if an appliance is compromised.
CISA's cyber security awareness and continued guidance on this vulnerability will evolve as more intelligence surfaces. Monitor their advisories closely and treat this with the urgency it deserves.
CISA б'є на тривогу через сплячий малвер
Агентство з кібербезпеки та безпеки інфраструктури щойно поділилося новиною, яка повинна змусити кожного клієнта Ivanti насторожитися. RESURGE — шкідливий імплант, який тихо експлуатує CVE-2025-0282 — може залишатися у сплячому стані на скомпрометованих пристроях Ivanti Connect Secure, згідно останнього повідомлення CISA, про яке повідомив BleepingComputer. Сплячий стан означає, що він просто сидить там. Чекає. Це справжній кошмар.
А ось що найбільше дратує: ви можете не знати, що він там.
Що ми знаємо
CVE-2025-0282 — це уразливість zero-day, яка впливає на приладу Ivanti Connect Secure. Цей недолік дозволяє неавторизованим зловмисникам вводити довільний код — це означає, що вони можуть встановити RESURGE без необхідності мати дійсні облікові дані. Статистика кіберпаток CISA показує, що експлуатація zero-day, спрямована на рішення для віддаленого доступу, залишається однією з найцінніших цілей для державних і кримінальних акторів.
RESURGE — це не типовий малвер, який голосно заявляє про себе повідомленнями про програмний вимагач або сповіщеннями про витік даних. Це бекдор-імплант, розроблений для персистентності та прихованості.
Звіт BleepingComputer указує на те, що скомпрометовані організації могли бути скомпрометовані місяці тому без виявлення. Функція спячого режиму — це технічний термін для того, коли малвер мовчить і чекає команд активації — особливо неприємна, тому що вона продовжує час, протягом якого зловмисники перебувають всередині вашої мережі.
Як це працює
Ланцюг атаки простий у найгіршому способі. Зловмисник експлуатує CVE-2025-0282, щоб отримати виконання коду на пристрої Ivanti Connect Secure. Звідти вони встановлюють імплант RESURGE. Малвер потім переходить у режим сплячого стану, фактично стаючи невидимим для більшості механізмів виявлення. Він не встановлює вихідні з'єднання, він не споживає ресурси, він не активує сповіщення про поведінку.
Тільки при активації — потенційно через тижні чи місяці — він стає активною загрозою.
Ця архітектура виявляє досконалу думку зловмисників. Чому ризикувати негайним виявленням, коли ви можете встановити опорну точку, дозволити захисним командам розслабитися, а потім активуватися, коли ви готові до латерального руху по мережі? Це хід у шахи, а не грабіж з одного удару.
Чому це важливо
Ivanti Connect Secure розгорнута в тисячах підприємств по всьому світу. Якщо ви керуєте інфраструктурою віддаленого доступу, є хороший шанс, що у вас є один з цих пристроїв, розташований на вашому периметрі. То чому це важливо? Тому що припущення про те, що ваші приладу чисті після встановлення патча, можуть бути неправильними.
Інструменти оцінки кібербезпеки CISA, такі як CSET, можуть допомогти виявити експозицію, але вони не виявлять уже встановлений бекдор, якщо ви не шукаєте правильні судово-медичні показники. Справжнє питання полягає в тому, чи ваша організація насправді провела судово-медичний аналіз скомпрометованих пристроїв після експлуатації або просто застосувала патч і далі рухалася.
Чесно кажучи, цього можна було б уникнути, якби практики розробки Ivanti це виявили раніше, ніж це стало громадським. Але ми є там, де ми є.
Наступні кроки
По-перше: негайно встановіть патч, якщо ви цього ще не зробили. По-друге: не зупиняйтесь там. Вам потрібно провести судово-медичний аналіз кожного пристрою Ivanti Connect Secure у вашому середовищі, щоб визначити, чи була встановлена RESURGE. Це означає дампи пам'яті, аналіз файлової системи та журналі з'єднань, які датуються місяцями.
По-третє: припустіть, що ви можете бути скомпрометовані, і дійте відповідно. Впровадьте посилений моніторинг на ваших пристроях Ivanti, спеціально шукаючи сигнатури RESURGE та показники поведінки, які CISA опублікує в оновлених порадах.
І розглядайте це як функцію примусу для переоцінки вашої архітектури zero-trust для віддаленого доступу. Покладання на один периметр-прилад — навіть залатаний — більше недостатньо. Додайте додаткові шари автентифікації, агресивно сегментуйте вашу мережу та зменшіть радіус вибуху, якщо прилад буде скомпрометований.
Поточні дії та відновлені поради CISA щодо цієї вразливості будуть розвиватися по мірі появи більшої розвідки. Уважно стежте за їх порадами і ставіться до цього з невідкладністю, яку воно заслуговує.