Un par de fallas de seguridad recientemente parcheados que afectan el software Ivanti Endpoint Manager Mobile (EPMM) ha sido explotado por un actor de amenaza de China-Nexus para dirigirse a una amplia gama de sectores en Europa, América del Norte y la región de Asia-Pacífico.
Las vulnerabilidades, rastreadas como CVE-2025-4427 (puntaje CVSS: 5.3) y CVE-2025-4428 (puntaje CVSS: 7.2), podrían estar encadenados para ejecutar código arbitrario en un dispositivo vulnerable sin requerir ninguna autenticación. Fueron dirigidos por Ivanti la semana pasada.
Ahora, según un informe de ECLECTICIQ, la cadena de vulnerabilidad ha sido abusada por UNC5221, un grupo chino de espionaje cibernético conocido por su objetivo de aparatos de red Edge desde al menos 2023. Más recientemente, el equipo de piratería también se atribuyó a esfuerzos de explotación dirigidos a los casos de redes de SAP susceptibles a CVE-201324.
La compañía de seguridad cibernética holandesa dijo que la actividad de explotación más temprana se remonta al 15 de mayo de 2025, con los ataques dirigidos a la atención médica, las telecomunicaciones, la aviación, el gobierno municipal, las finanzas y los sectores de defensa.
«UNC5221 demuestra una comprensión profunda de la arquitectura interna de EPMM, reutilizando los componentes del sistema legítimo para la exfiltración de datos encubiertos», dijo la investigadora de seguridad Arda Büyükkaya. «Dado el papel de EPMM en la gestión y el empuje de configuraciones a dispositivos móviles empresariales, una explotación exitosa podría permitir a los actores de amenaza acceder, manipular o comprometer de forma remota miles de dispositivos administrados en una organización».
La secuencia de ataque implica dirigirse al punto final «/MIFS/RS/API/V2/» para obtener un shell inverso interactivo y ejecutar remotamente comandos arbitrarios en las implementaciones de IVANTI EPMM. Esto es seguido por la implementación de KrustyLoader, un cargador conocido a base de óxido atribuido a UNC5221 que permite la entrega de cargas útiles adicionales como Sliver.
También se ha observado que los actores de amenaza se dirigen a la base de datos MIFS utilizando credenciales de la base de datos MySQL codificadas almacenadas en /mi/files/system/.MIFPP para obtener acceso no autorizado a la base de datos y exfiltrando datos confidenciales que podrían otorgarles visibilidad de visibilidad en los dispositivos móviles, los usuarios de LDAP y el acceso a Office 365 y el acceso a los tokens.
Además, los incidentes se caracterizan por el uso de comandos de shell ofuscados para el reconocimiento del host antes de dejar caer KrustyLoader de un cubo AWS S3 y un proxy inverso rápido (FRP) para facilitar el reconocimiento de la red y el movimiento lateral. Vale la pena mencionar aquí que FRP es una herramienta de código abierto ampliamente compartida entre los grupos de piratería chinos.
ECLECTICI dijo que también identificó un servidor de comando y control (C2) asociado con el color automático, una puerta trasera de Linux que fue documentada por la Unidad 42 de Palo Alto Networks como se usa en ataques dirigidos a universidades y organizaciones gubernamentales en América del Norte y Asia entre noviembre y diciembre de 2024.
«La dirección IP 146.70.87 (.) 67: 45020, anteriormente asociada con la infraestructura de comando y control de autos automotrices, se vio emitiendo pruebas de conectividad salientes a través de Curl inmediatamente después de la explotación de servidores EPMM Ivanti», señaló Büyükkaya. «Este comportamiento es consistente con los patrones de puesta en escena y baliza de color automático. Tomados en conjunto, estos indicadores probablemente se vinculan con la actividad de China-Nexus».
La divulgación se produce cuando la firma de inteligencia de amenazas Greynoise señaló que había sido testigo de un aumento significativo en la actividad de escaneo dirigido a productos seguros y seguros de pulso Ivanti Connect antes de la divulgación de CVE-2025-4427 y CVE-2025-4428.
«Si bien el escaneo que observamos no estaba directamente vinculado a EPMM, la línea de tiempo subraya una realidad crítica: la actividad de escaneo a menudo precede a la aparición pública de vulnerabilidades de día cero», dijo la compañía. «Es un indicador principal, una señal de que los atacantes sondeando sistemas críticos, potencialmente en preparación para una futura explotación».