Un par de fallas de seguridad recientemente parcheados que afectan el software Ivanti Endpoint Manager Mobile (EPMM) ha sido explotado por un actor de amenaza de China-Nexus para dirigirse a una amplia gama de sectores en Europa, Am\u00e9rica del Norte y la regi\u00f3n de Asia-Pac\u00edfico.<\/p>\n
Las vulnerabilidades, rastreadas como CVE-2025-4427 (puntaje CVSS: 5.3) y CVE-2025-4428 (puntaje CVSS: 7.2), podr\u00edan estar encadenados para ejecutar c\u00f3digo arbitrario en un dispositivo vulnerable sin requerir ninguna autenticaci\u00f3n. Fueron dirigidos por Ivanti la semana pasada.<\/p>\n
Ahora, seg\u00fan un informe de ECLECTICIQ, la cadena de vulnerabilidad ha sido abusada por UNC5221, un grupo chino de espionaje cibern\u00e9tico conocido por su objetivo de aparatos de red Edge desde al menos 2023. M\u00e1s recientemente, el equipo de pirater\u00eda tambi\u00e9n se atribuy\u00f3 a esfuerzos de explotaci\u00f3n dirigidos a los casos de redes de SAP susceptibles a CVE-201324.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Los-piratas-informaticos-chinos-explotan-a-Ivanti-Epmm-Bugs-en.jpg\")
<\/a><\/center><\/div>\nLa compa\u00f1\u00eda de seguridad cibern\u00e9tica holandesa dijo que la actividad de explotaci\u00f3n m\u00e1s temprana se remonta al 15 de mayo de 2025, con los ataques dirigidos a la atenci\u00f3n m\u00e9dica, las telecomunicaciones, la aviaci\u00f3n, el gobierno municipal, las finanzas y los sectores de defensa.<\/p>\n
“UNC5221 demuestra una comprensi\u00f3n profunda de la arquitectura interna de EPMM, reutilizando los componentes del sistema leg\u00edtimo para la exfiltraci\u00f3n de datos encubiertos”, la investigadora de seguridad Arda B\u00fcy\u00fckkaya dicho<\/a>. “Dado el papel de EPMM en la gesti\u00f3n y el empuje de configuraciones a dispositivos m\u00f3viles empresariales, una explotaci\u00f3n exitosa podr\u00eda permitir a los actores de amenaza acceder, manipular o comprometer de forma remota miles de dispositivos administrados en una organizaci\u00f3n”.<\/p>\n La secuencia de ataque implica dirigirse al punto final “\/MIFS\/RS\/API\/V2\/” para obtener un shell inverso interactivo y ejecutar remotamente comandos arbitrarios en las implementaciones de IVANTI EPMM. Esto es seguido por la implementaci\u00f3n de KrustyLoader, un cargador conocido a base de \u00f3xido atribuido a UNC5221 que permite la entrega de cargas \u00fatiles adicionales como Sliver.<\/p>\n Tambi\u00e9n se ha observado que los actores de amenaza se dirigen a la base de datos MIFS utilizando credenciales de la base de datos MySQL codificadas almacenadas en \/mi\/files\/system\/.MIFPP para obtener acceso no autorizado a la base de datos y exfiltrando datos confidenciales que podr\u00edan otorgarles visibilidad de visibilidad en los dispositivos m\u00f3viles, los usuarios de LDAP y el acceso a Office 365 y el acceso a los tokens.<\/p>\n Adem\u00e1s, los incidentes se caracterizan por el uso de comandos de shell ofuscados para el reconocimiento del host antes de dejar caer KrustyLoader de un cubo AWS S3 y un proxy inverso r\u00e1pido (FRP) para facilitar el reconocimiento de la red y el movimiento lateral. Vale la pena mencionar aqu\u00ed que FRP es una herramienta de c\u00f3digo abierto ampliamente compartida entre los grupos de pirater\u00eda chinos.<\/p>\n ECLECTICI dijo que tambi\u00e9n identific\u00f3 un servidor de comando y control (C2) asociado con el color autom\u00e1tico, una puerta trasera de Linux que fue documentada por la Unidad 42 de Palo Alto Networks como se usa en ataques dirigidos a universidades y organizaciones gubernamentales en Am\u00e9rica del Norte y Asia entre noviembre y diciembre de 2024.<\/p>\n “La direcci\u00f3n IP 146.70.87[.]67: 45020, previamente asociado con la infraestructura de comando y control de autos automotrices, se vio emitiendo pruebas de conectividad salientes a trav\u00e9s de curl inmediatamente despu\u00e9s de la explotaci\u00f3n de los servidores Ivanti EPMM “, se\u00f1al\u00f3 B\u00fcy\u00fckkaya.” Este comportamiento es consistente con los patrones de puesta en escena y bafoning de color autom\u00e1tico. Tomados en conjunto, estos indicadores probablemente se vinculan con la actividad de China-Nexus “.<\/p>\n La divulgaci\u00f3n se produce cuando la firma de inteligencia de amenazas Greynoise se\u00f1al\u00f3 que hab\u00eda sido testigo de un aumento significativo en la actividad de escaneo dirigido a productos seguros y seguros de pulso Ivanti Connect antes de la divulgaci\u00f3n de CVE-2025-4427 y CVE-2025-4428.<\/p>\n “Si bien el escaneo que observamos no estaba directamente vinculado a EPMM, la l\u00ednea de tiempo subraya una realidad cr\u00edtica: la actividad de escaneo a menudo precede a la aparici\u00f3n p\u00fablica de vulnerabilidades de d\u00eda cero”, la compa\u00f1\u00eda dicho<\/a>. “Es un indicador principal, una se\u00f1al de que los atacantes sondeando sistemas cr\u00edticos, potencialmente en preparaci\u00f3n para una futura explotaci\u00f3n”.<\/p>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n