Um par de falhas de segurança recentemente corrigidas que afetam o software Ivanti Endpoint Manager Mobile (EPMM) foi explorado por um ator de ameaça vinculado à China para mirar uma ampla gama de setores na Europa, América do Norte e região da Ásia-Pacífico.
As vulnerabilidades, identificadas como
CVE-2025-4427
(pontuação CVSS: 5.3) e
CVE-2025-4428
(pontuação CVSS: 7.2), poderiam ser combinadas para executar código arbitrário em um dispositivo vulnerável sem necessidade de autenticação.
Elas foram solucionadas pela Ivanti na semana passada.
Agora, segundo um relatório da EclecticIQ, a cadeia de vulnerabilidades foi abusada pelo UNC5221, um grupo de ciberespionagem chinês conhecido por seu foco em aparelhos de rede desde pelo menos 2023.
Mais recentemente, a equipe de hackers também foi atribuída a esforços de exploração mirando instâncias do SAP NetWeaver suscetíveis ao
CVE-2025-31324
.
A empresa holandesa de cibersegurança disse que a atividade de exploração mais antiga remonta a 15 de maio de 2025, com os ataques visando setores de saúde, telecomunicações, aviação, governo municipal, finanças e defesa.
"UNC5221 demonstra um profundo entendimento da arquitetura interna do EPMM, reaproveitando componentes legítimos do sistema para exfiltração de dados de forma oculta," disse o pesquisador de segurança Arda Büyükkaya.
Dado o papel do EPMM na gestão e configuração de dispositivos móveis empresariais, uma exploração bem-sucedida poderia permitir que atores de ameaças acessassem, manipulassem ou comprometessem remotamente milhares de dispositivos gerenciados em uma organização.
A sequência de ataque envolve o alvo do endpoint "/mifs/rs/api/v2/" para obter um reverse shell interativo e executar comandos arbitrários remotamente em implantações do Ivanti EPMM.
Isso é seguido pelo deployment do KrustyLoader, um loader baseado em Rust atribuído ao UNC5221 que possibilita a entrega de payloads adicionais como Sliver.
Os atores de ameaças também foram observados mirando o banco de dados mifs ao fazer uso de credenciais de banco de dados MySQL codificadas armazenadas em /mi/files/system/.mifpp para obter acesso não autorizado ao banco de dados e exfiltrar dados sensíveis que poderiam dar a eles visibilidade sobre dispositivos móveis gerenciados, usuários LDAP e tokens de atualização e acesso do Office 365.
Além disso, os incidentes são caracterizados pelo uso de comandos shell ofuscados para reconhecimento do host antes de baixar o KrustyLoader de um bucket AWS S3 e Fast Reverse Proxy (FRP) para facilitar o reconhecimento de rede e movimentação lateral.
Vale mencionar aqui que o FRP é uma ferramenta de código aberto amplamente compartilhada entre grupos de hacking chineses.
A EclecticIQ disse que também identificou um servidor de comando e controle (C2) associado ao Auto-Color, um backdoor Linux que foi documentado pela Palo Alto Networks Unit 42 como usado em ataques direcionados a universidades e organizações governamentais na América do Norte e Ásia entre novembro e dezembro de 2024.
"O endereço IP 146.70.87[.]67:45020, anteriormente associado à infraestrutura de comando e controle Auto-Color, foi visto realizando testes de conectividade outbound via curl imediatamente após a exploração dos servidores Ivanti EPMM," Büyükkaya apontou.
"Este comportamento é consistente com os padrões de staging e beaconing do Auto-Color.
Tomados em conjunto, esses indicadores muito provavelmente se vinculam à atividade nexus China."
A revelação ocorre no momento em que a firma de inteligência sobre ameaças GreyNoise notou um pico significativo de atividade de scan visando produtos Ivanti Connect Secure e Pulse Secure antes da divulgação do
CVE-2025-4427
e
CVE-2025-4428
.
"Embora o scanning que observamos não estivesse diretamente ligado ao EPMM, a cronologia sublinha uma realidade crítica: a atividade de scanning muitas vezes precede o surgimento público de vulnerabilidades zero-day," disse a empresa.
"É um indicador líder — um sinal de que os atacantes estão sondando sistemas críticos, potencialmente em preparação para futuras explorações," finaliza a empresa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...