Los fallas de seguridad recientemente parcheados que afectan el software Ivanti Endpoint Manager Mobile (EPMM) han sido apalancados por los actores de amenaza de China y Nexus para dirigirse a una amplia gama de sectores en las regiones de Europa, América del Norte y Asia-Pacífico.
Las vulnerabilidades rastreadas como CVE-2025-4427 (puntaje CVSS: 5.3) y CVE-2025-4428 (puntaje CVSS: 7.2) se pueden encuir para ejecutar código arbitrario en dispositivos vulnerables sin requerir autenticación. Fueron dirigidos por Ivanti la semana pasada.
Actualmente, según un informe ECLECTICIQ, la cadena de vulnerabilidad ha sido abusada desde al menos 2023 por UNC5221, un grupo cibernético chino conocido por apuntar a los dispositivos de red Edge.
La compañía de seguridad cibernética holandesa dijo que las actividades de explotación temprana se remontan al 15 de mayo de 2025, con ataques dirigidos a la atención médica, telecomunicaciones, aviación, gobierno local, finanzas y sectores de defensa.
«El UNC5221 demuestra una comprensión más profunda de la arquitectura interna del EPMM y la reutilización de componentes del sistema legal para la delaminación de datos secretos», dijo la investigadora de seguridad Arda Büyükkaya. «Dado el papel de EPMM en la gestión y el empuje de configuraciones a dispositivos móviles empresariales, la explotación exitosa permite a los actores de amenaza acceder, manipular o comprometer de forma remota miles de dispositivos administrados en toda su organización».
La secuencia de ataque se dirige al punto final «/MIFS/RS/API/V2/», obtiene un shell inverso interactivo y ejecuta cualquier comando de forma remota en la implementación de Ivanti EPMM. Esto es seguido por la implementación de KrustyLoader, un cargador conocido a base de óxido debido a UNC5221 que permite la entrega de cargas útiles adicionales como Sliver.
También se ha observado que los actores de amenaza están dirigidos a bases de datos MIFS mediante el uso de credenciales de base de datos MySQL codificadas en /MI/files/system/system/system/.mifpp.
Además, los incidentes se caracterizan mediante el uso de comandos de shell ofuscados para el reconocimiento del host antes de dejar caer KrustyLoader de los cubos AWS S3 y el proxy inverso rápido (FRP) para promover el reconocimiento de la red y el movimiento lateral. Vale la pena mencionar aquí que FRP es una herramienta de código abierto que se comparte ampliamente entre los grupos de piratería chinos.
ECLECTICI dijo que también identificó un servidor de comando y control (C2) asociado con el color automático, un trasero de Linux documentado por Palo Alto Networks Unit 42, que se ha utilizado en ataques dirigidos a universidades y organizaciones asiáticas en América del Norte y Asia entre noviembre y diciembre de 2024.
«La dirección IP 146.70.87 (.) 67: 45020, previamente asociada con la infraestructura de control y control de color automático, se consideró que emitía pruebas de conectividad salientes a través de CURL inmediatamente después de usar el servidor Ivanti EPMM», señaló Bükkaya. «Este comportamiento es consistente con los patrones de estadificación y baliza de color automático. Es muy probable que estos indicadores se vinculen con las actividades de China y Nexus».
Esta divulgación se realiza, ya que establece que fue testigo de un aumento significativo en las actividades de escaneo dirigidas a los productos seguros y de pulso de Ivanti Connect antes de la divulgación de CVE-2025-4427 y CVE-2025-4428.
«Si bien los escaneos que observamos no estaban directamente vinculados a EPMM, la línea de tiempo destaca una realidad significativa. Las actividades de escaneo a menudo preceden a la aparición pública de vulnerabilidades de día cero», dijo la compañía. «Este es un indicador clave. Es una señal de que los atacantes están investigando sistemas potencialmente importantes en preparación para la explotación futura».
Source link
