Se han descubierto dos vulnerabilidades zero-day en Ivanti Connect Secure, un dispositivo de red privada virtual (VPN), y han sido explotadas para descargar la herramienta de simulación de adversarios Sliver mediante una carga útil denominada KrustyLoader. Las vulnerabilidades de seguridad (CVE-2023-46805 y CVE-2024-21887) pueden permitir la ejecución remota de código no autenticada en dispositivos vulnerables. La empresa ha lanzado una solución temporal mediante un archivo XML, aunque los parches aún se encuentran en desarrollo.
La amenaza de ciberataque Chino UTA0178 ha utilizado estas vulnerabilidades desde el 3 de diciembre de 2023, según Volexity. La empresa de seguridad BishopFox desarrolló Sliver, una herramienta basada en Golang que se ha vuelto popular entre los autores de amenazas. KrustyLoader, programado con Rust, funciona como un cargador para Sliver y ejecuta la herramienta de post-explotación en un host comprometido.
Los expertos en ciberseguridad han observado una amplia explotación del malware Rust por parte de otros adversarios para descargar mineros de criptomonedas XMRig. Recorder Future informa que Cobalt Strike sigue siendo la herramienta de seguridad ofensiva más utilizada en la infraestructura de los atacantes en 2023, seguida de Viper y Meterpreter. Además de Sliver, se observan otros marcos conocidos como Havoc, Mythic y Brute Ratel, aunque en menor cantidad.
