Un par de fallas de seguridad recientemente parcheados que afectan el software Ivanti Endpoint Manager Mobile (EPMM) ha sido explotado por un actor de amenaza de China-Nexus para dirigirse a una amplia escala de sectores en Europa, América del Boreal y la región de Asia-Pacífico.
Las vulnerabilidades, rastreadas como CVE-2025-4427 (puntaje CVSS: 5.3) y CVE-2025-4428 (puntaje CVSS: 7.2), podrían estar encadenados para ejecutar código parcial en un dispositivo indefenso sin requerir ninguna autenticación. Fueron dirigidos por Ivanti la semana pasada.
Ahora, según un crónica de ECLECTICIQ, la sujeción de vulnerabilidad ha sido abusada por UNC5221, un familia chino de espionaje cibernético conocido por su objetivo de aparatos de red Edge desde al menos 2023. Más recientemente, el equipo de piratería además se atribuyó a esfuerzos de explotación dirigidos a los casos de redes de SAP susceptibles a CVE-201324.
La compañía de seguridad cibernética holandesa dijo que la actividad de explotación más temprana se remonta al 15 de mayo de 2025, con los ataques dirigidos a la atención médica, las telecomunicaciones, la aviación, el gobierno municipal, las finanzas y los sectores de defensa.
“UNC5221 demuestra una comprensión profunda de la construcción interna de EPMM, reutilizando los componentes del sistema oficial para la exfiltración de datos encubiertos”, dijo la investigadora de seguridad Arda Büyükkaya. “Regalado el papel de EPMM en la encargo y el empuje de configuraciones a dispositivos móviles empresariales, una explotación exitosa podría permitir a los actores de amenaza entrar, manipular o comprometer de forma remota miles de dispositivos administrados en una estructura”.
La secuencia de ataque implica dirigirse al punto final “/MIFS/RS/API/V2/” para obtener un shell inverso interactivo y ejecutar remotamente comandos arbitrarios en las implementaciones de IVANTI EPMM. Esto es seguido por la implementación de KrustyLoader, un cargador conocido a colchoneta de óxido atribuido a UNC5221 que permite la entrega de cargas efectos adicionales como Sliver.
Todavía se ha observado que los actores de amenaza se dirigen a la colchoneta de datos MIFS utilizando credenciales de la colchoneta de datos MySQL codificadas almacenadas en /mi/files/system/.MIFPP para obtener entrada no facultado a la colchoneta de datos y exfiltrando datos confidenciales que podrían otorgarles visibilidad de visibilidad en los dispositivos móviles, los usuarios de LDAP y el entrada a Office 365 y el entrada a los tokens.
Por otra parte, los incidentes se caracterizan por el uso de comandos de shell ofuscados para el agradecimiento del host antiguamente de dejar caer KrustyLoader de un cubo AWS S3 y un proxy inverso rápido (FRP) para solucionar el agradecimiento de la red y el movimiento pegado. Vale la pena mencionar aquí que FRP es una utensilio de código hendido ampliamente compartida entre los grupos de piratería chinos.
ECLECTICI dijo que además identificó un servidor de comando y control (C2) asociado con el color inconsciente, una puerta trasera de Linux que fue documentada por la Dispositivo 42 de Palo Parada Networks como se usa en ataques dirigidos a universidades y organizaciones gubernamentales en América del Boreal y Asia entre noviembre y diciembre de 2024.
“La dirección IP 146.70.87 (.) 67: 45020, anteriormente asociada con la infraestructura de comando y control de autos automotrices, se vio emitiendo pruebas de conectividad salientes a través de Curl inmediatamente posteriormente de la explotación de servidores EPMM Ivanti”, señaló Büyükkaya. “Este comportamiento es consistente con los patrones de puesta en cuadro y baliza de color inconsciente. Tomados en conjunto, estos indicadores probablemente se vinculan con la actividad de China-Nexus”.
La divulgación se produce cuando la firma de inteligencia de amenazas Greynoise señaló que había sido testimonio de un aumento significativo en la actividad de escaneo dirigido a productos seguros y seguros de pulso Ivanti Connect antiguamente de la divulgación de CVE-2025-4427 y CVE-2025-4428.
“Si proporcionadamente el escaneo que observamos no estaba directamente vinculado a EPMM, la orientación de tiempo subraya una sinceridad crítica: la actividad de escaneo a menudo precede a la aparición pública de vulnerabilidades de día cero”, dijo la compañía. “Es un indicador principal, una señal de que los atacantes sondeando sistemas críticos, potencialmente en preparación para una futura explotación”.
