La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) publicó el jueves detalles de dos conjuntos de malware que fueron descubiertos en la red de una organización no identificada después de la explotación de fallas de seguridad en Ivanti Endpoint Manager Mobile (EPMM).
«Cada conjunto contiene cargadores para oyentes maliciosos que permiten a los actores de amenaza cibernética ejecutar código arbitrario en el servidor comprometido», dijo CISA en una alerta.
Las vulnerabilidades que fueron explotadas en el ataque incluyen CVE-2025-4427 y CVE-2025-4428, los cuales han sido abusados como días de cero antes de que Ivanti aborde los que se dirigen en mayo de 2025.
Mientras que CVE-2025-4427 se refiere a un derivación de la autenticación que permite a los atacantes acceder a los recursos protegidos, CVE-2025-4428 permite la ejecución del código remoto. Como resultado, los dos fallas podrían estar encadenados para ejecutar código arbitrario en un dispositivo vulnerable sin autenticación.
Según CISA, los actores de amenaza obtuvieron acceso al servidor que ejecuta EPMM al peinar las dos vulnerabilidades alrededor del 15 de mayo de 2025, luego de la publicación de una explotación de prueba de concepto (POC).
Esto permitió a los atacantes ejecutar comandos que permitieron recopilar información del sistema, descargar archivos maliciosos, enumerar el directorio root, asignar la red, ejecutar scripts para crear un montón y volcar credenciales de protocolo de acceso de directorio ligero (LDAP), agregó la agencia.
Un análisis posterior determinó que los actores de amenaza cibernética arrojaron dos conjuntos de archivos maliciosos al directorio «/TMP», cada uno de los cuales permitió la persistencia inyectando y ejecutando código arbitrario en el servidor comprometido:
- Set 1 – Web-Install.jar (también conocido como Loader 1), ReflectUtil.class y SecurityHandlerwanListener.class
- Establecer 2 – Web-Install.jar (también conocido como Loader 2) y WeBandroroidAppinstaller.class
Específicamente, ambos conjuntos contienen un cargador que inicia un oyente de clase Java compilado que intercepta solicitudes HTTP específicas y los procesa para decodificar y descifrar las cargas útiles para la ejecución posterior.
«Reflectutil.Class manipula los objetos de Java para inyectar y administrar el oyente malicioso SecurityHandlerwanlistener en Apache Tomcat», dijo Cisa. «(SecurityHandlerwanListener.class) Oyente malicioso que intercepta solicitudes HTTP específicas y los procesa para decodificar y descifrar las cargas útiles, que crean y ejecutan dinámicamente una nueva clase».
WeBandroroidAppinstaller.class, por otro lado, funciona de manera diferente al recuperar y descifrar un parámetro de contraseña de la solicitud utilizando una clave codificada, cuyo contenido se utilizan para definir e implementar una nueva clase. El resultado de la ejecución de la nueva clase se encripta utilizando la misma clave codificada y genera una respuesta con la salida cifrada.
El resultado final es que permite a los atacantes inyectar y ejecutar código arbitrario en el servidor, permitiendo la actividad de seguimiento y la persistencia, así como los datos exfiltrados al interceptar y procesar las solicitudes HTTP.
Para mantenerse protegidos contra estos ataques, se aconseja a las organizaciones que actualicen sus instancias a la última versión, controlen los signos de actividades sospechosas e implementen las restricciones necesarias para evitar el acceso no autorizado a los sistemas de gestión de dispositivos móviles (MDM).