La firma de inteligencia de amenazas Greynoise advierte de un “aumento trascendental” en la actividad de escaneo dirigida a los sistemas de transferencia de movimientos de progreso a partir del 27 de mayo de 2025, suministrando que los atacantes puedan estar preparándose para otra campaña de explotación masiva o investigar los sistemas no parchados.
Moveit Transfer es una posibilidad de transferencia de archivos administrada popular utilizada por las empresas y las agencias gubernamentales para compartir datos confidenciales de forma segura. Correcto a que a menudo maneja la información de parada valencia, se ha convertido en un objetivo preferido para los atacantes.
“Antaño de esta término, el escaneo fue exiguo, generalmente menos de 10 IP observados por día”, dijo la compañía. “Pero el 27 de mayo, ese número aumentó a más de 100 IPs únicos, seguido de 319 IP el 28 de mayo”.
Desde entonces, el pandeo IP diario del escáner se ha mantenido intermitentemente elevado entre 200 y 300 IP por día, agregó Greynoise, lo que indica que marca una “desviación significativa” del comportamiento habitual.
Se han traumatizado hasta 682 IP únicos en relación con la actividad en los últimos 90 días, con 449 direcciones IP observadas solo en las últimas 24 horas. De los 449 IP, 344 se han clasificado como sospechosos y 77 han sido marcados maliciosos.
La mayoría de las direcciones IP se dirigen a los Estados Unidos, seguido de Alemania, Japón, Singapur, Brasil, Países Bajos, Corea del Sur, Hong Kong e Indonesia.
Greynoise incluso dijo que detectó intentos de explotación de bajo pandeo para armarse dos fallas de transferencia de movimiento conocidas (CVE-2023-34362 y CVE-2023-36934) el 12 de junio de 2025. Vale la pena señalar que CVE-2023-34362 fue abusado por los actores de los actores de CL0P. 2,770 organizaciones.
El aumento en la actividad de escaneo es una indicación de que las instancias de transferencia de MoveIT están una vez más bajo el escáner del actor de amenaza, lo que hace que los usuarios bloqueen las direcciones IP ofensivas, asegúrese de que el software esté actualizado y evite exponerlos públicamente a través de Internet.
