Un par de fallas de seguridad recientemente parcheados que afectan el software Ivanti Endpoint Manager Mobile (EPMM) ha sido explotado por un actor de amenaza de China-Nexus para dirigirse a una amplia matiz de sectores en Europa, América del Finalidad y la región de Asia-Pacífico.
Las vulnerabilidades, rastreadas como CVE-2025-4427 (puntaje CVSS: 5.3) y CVE-2025-4428 (puntaje CVSS: 7.2), podrían estar encadenados para ejecutar código caprichoso en un dispositivo frágil sin requerir ninguna autenticación. Fueron dirigidos por Ivanti la semana pasada.
Ahora, según un referencia de ECLECTICIQ, la prisión de vulnerabilidad ha sido abusada por UNC5221, un género chino de espionaje cibernético conocido por su objetivo de aparatos de red Edge desde al menos 2023. Más recientemente, el equipo de piratería igualmente se atribuyó a esfuerzos de explotación dirigidos a los casos de redes de SAP susceptibles a CVE-201324.
La compañía de seguridad cibernética holandesa dijo que la actividad de explotación más temprana se remonta al 15 de mayo de 2025, con los ataques dirigidos a la atención médica, las telecomunicaciones, la aviación, el gobierno municipal, las finanzas y los sectores de defensa.
«UNC5221 demuestra una comprensión profunda de la inmueble interna de EPMM, reutilizando los componentes del sistema probado para la exfiltración de datos encubiertos», dijo la investigadora de seguridad Arda Büyükkaya. «Cubo el papel de EPMM en la dirección y el empuje de configuraciones a dispositivos móviles empresariales, una explotación exitosa podría permitir a los actores de amenaza penetrar, manipular o comprometer de forma remota miles de dispositivos administrados en una ordenamiento».
La secuencia de ataque implica dirigirse al punto final «/MIFS/RS/API/V2/» para obtener un shell inverso interactivo y ejecutar remotamente comandos arbitrarios en las implementaciones de IVANTI EPMM. Esto es seguido por la implementación de KrustyLoader, un cargador conocido a saco de óxido atribuido a UNC5221 que permite la entrega de cargas enseres adicionales como Sliver.
Asimismo se ha observado que los actores de amenaza se dirigen a la saco de datos MIFS utilizando credenciales de la saco de datos MySQL codificadas almacenadas en /mi/files/system/.MIFPP para obtener comunicación no acreditado a la saco de datos y exfiltrando datos confidenciales que podrían otorgarles visibilidad de visibilidad en los dispositivos móviles, los usuarios de LDAP y el comunicación a Office 365 y el comunicación a los tokens.
Adicionalmente, los incidentes se caracterizan por el uso de comandos de shell ofuscados para el registro del host antiguamente de dejar caer KrustyLoader de un cubo AWS S3 y un proxy inverso rápido (FRP) para allanar el registro de la red y el movimiento adjunto. Vale la pena mencionar aquí que FRP es una aparejo de código amplio ampliamente compartida entre los grupos de piratería chinos.
ECLECTICI dijo que igualmente identificó un servidor de comando y control (C2) asociado con el color necesario, una puerta trasera de Linux que fue documentada por la Dispositivo 42 de Palo Suspensión Networks como se usa en ataques dirigidos a universidades y organizaciones gubernamentales en América del Finalidad y Asia entre noviembre y diciembre de 2024.
«La dirección IP 146.70.87 (.) 67: 45020, anteriormente asociada con la infraestructura de comando y control de autos automotrices, se vio emitiendo pruebas de conectividad salientes a través de Curl inmediatamente posteriormente de la explotación de servidores EPMM Ivanti», señaló Büyükkaya. «Este comportamiento es consistente con los patrones de puesta en ámbito y baliza de color necesario. Tomados en conjunto, estos indicadores probablemente se vinculan con la actividad de China-Nexus».
La divulgación se produce cuando la firma de inteligencia de amenazas Greynoise señaló que había sido testimonio de un aumento significativo en la actividad de escaneo dirigido a productos seguros y seguros de pulso Ivanti Connect antiguamente de la divulgación de CVE-2025-4427 y CVE-2025-4428.
«Si perfectamente el escaneo que observamos no estaba directamente vinculado a EPMM, la recta de tiempo subraya una verdad crítica: la actividad de escaneo a menudo precede a la aparición pública de vulnerabilidades de día cero», dijo la compañía. «Es un indicador principal, una señal de que los atacantes sondeando sistemas críticos, potencialmente en preparación para una futura explotación».
