Una parte importante de los intentos de explotación dirigidos a fallas de seguridad recientemente reveladas en Ivanti Endpoint Manager Mobile (EPMM) se remontan a una única dirección IP en la infraestructura de alojamiento a prueba de balas proporcionada por PROSPERO.
La empresa de inteligencia sobre amenazas GreyNoise anunció que registró 417 sesiones de explotación de ocho direcciones IP de origen únicas entre el 1 y el 9 de febrero de 2026. Se estima que 346 sesiones de explotación se originaron en 193.24.123(.)42, lo que representa el 83% de todos los intentos.
Esta actividad maliciosa está diseñada para explotar una de las dos vulnerabilidades de seguridad críticas en EPMM: CVE-2026-1281 (puntuación CVSS: 9,8) y CVE-2026-1340, que los atacantes pueden aprovechar para lograr la ejecución remota de código no autenticado. A finales del mes pasado, Ivanti reconoció que tenía conocimiento de un «número muy limitado de clientes» que se vieron afectados por el exploit de día cero en cuestión.
Desde entonces, varias instituciones europeas, incluida la Autoridad Holandesa de Protección de Datos (AP) en los Países Bajos, el Consejo de Justicia, la Comisión Europea y Valtri de Finlandia, han revelado que fueron atacados por atacantes desconocidos que explotaron esta vulnerabilidad.
Un análisis más detallado reveló que el mismo host estaba explotando simultáneamente otros tres CVE en software no relacionado.
«IP rota más de 300 cadenas de agentes de usuario únicas en Chrome, Firefox, Safari y múltiples variantes de sistemas operativos», dijo GreyNoise. «Esta diversidad de huellas dactilares, junto con la explotación simultánea de cuatro productos de software no relacionados, es consistente con una herramienta automatizada».
Vale la pena señalar que se cree que PROSPERO está vinculado a otro sistema autónomo llamado Proton66, que tiene un historial de distribución de malware para escritorio y Android, como GootLoader, Matanbuchus, SpyNote, Coper (también conocido como Octo) y SocGholish.
GreyNoise también señaló que el 85% de las sesiones de explotación enviaron una baliza a través del Sistema de nombres de dominio (DNS) para confirmar que «este objetivo es explotable» sin implementar malware ni filtrar datos.
Esta divulgación se produce días después de que Defused Cyber informara sobre una campaña de «shell durmiente» que implementa un cargador de clases Java en memoria inactivo en instancias EPMM comprometidas ubicadas en la ruta «/mifs/403.jsp». La firma de ciberseguridad dijo que esta actividad es indicativa del modus operandi de un corredor de acceso inicial, estableciendo un punto de apoyo para que los actores de amenazas luego vendan o transfieran el acceso para obtener ganancias financieras.
«El patrón es significativo», señaló la revista. «Las devoluciones de llamadas de OAST (pruebas de seguridad de aplicaciones fuera de banda) indican que la campaña está catalogando objetivos vulnerables en lugar de implementar cargas útiles de inmediato. Esto es consistente con operaciones de acceso temprano que primero validan la explotabilidad y luego implementan herramientas posteriores».
Se anima a los usuarios de Ivanti EPMM a parchar y auditar su infraestructura de administración de dispositivos móviles (MDM) con acceso a Internet, revisar los registros de DNS para las devoluciones de llamadas de patrones OAST, monitorear la ruta /mifs/403.jsp en instancias de EPMM y bloquear el sistema autónomo de PROSPERO (AS200593) en el nivel del perímetro de la red.
«Un compromiso de EPMM brinda acceso a la infraestructura de administración de dispositivos en toda una organización, creando una plataforma de movimiento lateral que evita la segmentación de red tradicional», dijo GreyNoise. «Las organizaciones que implementan MDM orientado a Internet, concentradores VPN u otra infraestructura de acceso remoto deben operar bajo el supuesto de que las vulnerabilidades críticas pueden explotarse a las pocas horas de su divulgación».
Source link
