Una parte importante de los intentos de explotación dirigidos a una error de seguridad recientemente revelada en Ivanti Endpoint Manager Mobile (EPMM) se remonta a una única dirección IP en una infraestructura de alojamiento a prueba de balas ofrecida por PROSPERO.
La firma de inteligencia de amenazas GreyNoise dijo que registró 417 sesiones de explotación de 8 direcciones IP de origen único entre el 1 y el 9 de febrero de 2026. Se estima que 346 sesiones de explotación se originaron en 193.24.123(.)42, lo que representa el 83% de todos los intentos.
La actividad maliciosa está diseñada para explotar CVE-2026-1281 (puntuaciones CVSS: 9,8), una de las dos vulnerabilidades de seguridad críticas en EPMM, adjunto con CVE-2026-1340 que podría ser explotada por un atacante para ganar la ejecución remota de código no autenticado. A finales del mes pasado, Ivanti reconoció que tenía conocimiento de un “número muy menguado de clientes” que se vieron afectados tras la explotación de los problemas en el día cero.
Desde entonces, varias agencias europeas, incluida la Autoridad Holandesa de Protección de Datos (AP) de los Países Bajos, el Consejo del Poder Procesal, la Comisión Europea y Valtori de Finlandia, han revelado que fueron atacados por actores de amenazas desconocidos que utilizaban las vulnerabilidades.
Un exploración más detallado ha revelado que el mismo host ha estado explotando simultáneamente otros tres CVE en software no relacionado:
“La IP rota a través de más de 300 cadenas de agentes de beneficiario únicas que abarcan Chrome, Firefox, Safari y múltiples variantes de sistemas operativos”, dijo GreyNoise. “Esta diversificación de huellas dactilares, combinada con la explotación simultánea de cuatro productos de software no relacionados, es consistente con herramientas automatizadas”.
Vale la pena señalar que se considera que PROSPERO está vinculado a otro sistema autónomo llamado Proton66, que tiene un historial de distribución de malware de escritorio y Android como GootLoader, Matanbuchus, SpyNote, Coper (igualmente conocido como Octo) y SocGholish.
GreyNoise igualmente señaló que el 85% de las sesiones de explotación se dirigieron a través del sistema de nombres de dominio (DNS) para confirmar que “este objetivo es explotable” sin implementar ningún malware ni filtrar datos.
La divulgación se produce días a posteriori de que Defused Cyber informara sobre una campaña de “shell durmiente” que implementaba un cargador de clases Java en memoria inactivo en instancias EPMM comprometidas en la ruta “/mifs/403.jsp”. La compañía de ciberseguridad dijo que la actividad es indicativa de un oficio de corredor de ataque auténtico, donde los actores de amenazas establecen un punto de apoyo para entregar o ceder el ataque más tarde para obtener ganancias financieras.
“Ese patrón es significativo”, señaló. “Las devoluciones de llamadas de OAST (pruebas de seguridad de aplicaciones fuera de pandilla) indican que la campaña está catalogando qué objetivos son vulnerables en punto de implementar cargas bártulos de inmediato. Esto es consistente con las operaciones de ataque auténtico que verifican la explotabilidad primero y luego implementan herramientas de seguimiento”.
Se recomienda a los usuarios de Ivanti EPMM aplicar los parches, auditar la infraestructura de dependencia de dispositivos móviles (MDM) con ataque a Internet, revisar los registros de DNS para devoluciones de llamadas con patrón OAST y monitorear la ruta /mifs/403.jsp en instancias de EPMM y cerrar el sistema autónomo de PROSPERO (AS200593) en el nivel del perímetro de la red.
“El compromiso EPMM brinda ataque a la infraestructura de dependencia de dispositivos para organizaciones enteras, creando una plataforma de movimiento contiguo que evita la segmentación de red tradicional”, dijo GreyNoise. “Las organizaciones con MDM con ataque a Internet, concentradores VPN u otra infraestructura de ataque remoto deben trabajar bajo el supuesto de que las vulnerabilidades críticas se enfrentan a la explotación a las pocas horas de su divulgación”.
