Una parte importante de los intentos de explotación dirigidos a una falla de seguridad recientemente revelada en Ivanti Endpoint Manager Mobile (EPMM) se remonta a una única dirección IP en una infraestructura de alojamiento a prueba de balas ofrecida por PROSPERO.
La firma de inteligencia de amenazas GreyNoise dijo que registró 417 sesiones de explotación de 8 direcciones IP de origen único entre el 1 y el 9 de febrero de 2026. Se estima que 346 sesiones de explotación se originaron en 193.24.123(.)42, lo que representa el 83% de todos los intentos.
La actividad maliciosa está diseñada para explotar CVE-2026-1281 (puntuaciones CVSS: 9,8), una de las dos vulnerabilidades de seguridad críticas en EPMM, junto con CVE-2026-1340 que podría ser explotada por un atacante para lograr la ejecución remota de código no autenticado. A finales del mes pasado, Ivanti reconoció que tenía conocimiento de un «número muy limitado de clientes» que se vieron afectados tras la explotación de los problemas en el día cero.
Desde entonces, varias agencias europeas, incluida la Autoridad Holandesa de Protección de Datos (AP) de los Países Bajos, el Consejo del Poder Judicial, la Comisión Europea y Valtori de Finlandia, han revelado que fueron atacados por actores de amenazas desconocidos que utilizaban las vulnerabilidades.
Un análisis más detallado ha revelado que el mismo host ha estado explotando simultáneamente otros tres CVE en software no relacionado:
«La IP rota a través de más de 300 cadenas de agentes de usuario únicas que abarcan Chrome, Firefox, Safari y múltiples variantes de sistemas operativos», dijo GreyNoise. «Esta diversidad de huellas dactilares, combinada con la explotación simultánea de cuatro productos de software no relacionados, es consistente con herramientas automatizadas».
Vale la pena señalar que se considera que PROSPERO está vinculado a otro sistema autónomo llamado Proton66, que tiene un historial de distribución de malware de escritorio y Android como GootLoader, Matanbuchus, SpyNote, Coper (también conocido como Octo) y SocGholish.
GreyNoise también señaló que el 85% de las sesiones de explotación se dirigieron a través del sistema de nombres de dominio (DNS) para confirmar que «este objetivo es explotable» sin implementar ningún malware ni filtrar datos.
La divulgación se produce días después de que Defused Cyber informara sobre una campaña de «shell durmiente» que implementaba un cargador de clases Java en memoria inactivo en instancias EPMM comprometidas en la ruta «/mifs/403.jsp». La compañía de ciberseguridad dijo que la actividad es indicativa de un oficio de corredor de acceso inicial, donde los actores de amenazas establecen un punto de apoyo para vender o ceder el acceso más tarde para obtener ganancias financieras.
«Ese patrón es significativo», señaló. «Las devoluciones de llamadas de OAST (pruebas de seguridad de aplicaciones fuera de banda) indican que la campaña está catalogando qué objetivos son vulnerables en lugar de implementar cargas útiles de inmediato. Esto es consistente con las operaciones de acceso inicial que verifican la explotabilidad primero y luego implementan herramientas de seguimiento».
Se recomienda a los usuarios de Ivanti EPMM aplicar los parches, auditar la infraestructura de administración de dispositivos móviles (MDM) con acceso a Internet, revisar los registros de DNS para devoluciones de llamadas con patrón OAST y monitorear la ruta /mifs/403.jsp en instancias de EPMM y bloquear el sistema autónomo de PROSPERO (AS200593) en el nivel del perímetro de la red.
«El compromiso EPMM brinda acceso a la infraestructura de administración de dispositivos para organizaciones enteras, creando una plataforma de movimiento lateral que evita la segmentación de red tradicional», dijo GreyNoise. «Las organizaciones con MDM con acceso a Internet, concentradores VPN u otra infraestructura de acceso remoto deben operar bajo el supuesto de que las vulnerabilidades críticas se enfrentan a la explotación a las pocas horas de su divulgación».