Chinese hackers exploiteren ivanti EPMM -bugs in wereldwijde enterprise netwerkaanvallen

Een recent gepatcht paar beveiligingsfouten op Ivanti Endpoint Manager Mobile (EPMM) -software is benut door een China-Nexus Threat-acteur om zich te richten op een breed scala aan sectoren in Europa, Noord-Amerika en de regio Azië-Pacific.

De kwetsbaarheden, gevolgd als CVE-2025-4427 (CVSS-score: 5.3) en CVE-2025-4428 (CVSS-score: 7.2), kunnen worden geketend om willekeurige code uit te voeren op een kwetsbaar apparaat zonder enige authenticatie te vereisen. Ze werden vorige week geadresseerd door Ivanti.

Nu, volgens een rapport van Eclecticiq, is de kwetsbaarheidsketen misbruikt door UNC5221, een Chinese cyberspionagegroep die bekend staat om zijn targeting van edge-netwerkapparatuur sinds minstens 2023. Meest recent werd de hacking-crew ook toegeschreven aan exploitatie-inspanningen die sap net-net-netvestig gevestigde gevallen vatbaar zijn voor CVE-2025-31324.

Het Nederlandse Cybersecurity Company zei dat de vroegste uitbuitingsactiviteit dateert uit 15 mei 2025, met de aanvallen gericht op gezondheidszorg, telecommunicatie, luchtvaart, gemeentelijke overheid, financiën en defensiesectoren.

“UNC5221 toont een diep begrip van de interne architectuur van EPMM, waarmee legitieme systeemcomponenten worden hergebruikt voor geheime gegevensuitvoer,” zei beveiligingsonderzoeker Arda Büyükkaya. “Gezien de rol van EPMM bij het beheren en pushen van configuraties naar mobiele apparaten voor ondernemingen, kan een succesvolle exploitatie bedreigingsactoren toestaan ​​om duizenden beheerde apparaten op afstand toegang te krijgen, te manipuleren of in gevaar te brengen in een organisatie.”

De aanvalsreeks omvat het richten van het “/mifs/rs/API/V2/” eindpunt om een ​​interactieve omgekeerde shell te verkrijgen en op afstand willekeurige opdrachten op Ivanti EPMM -implementaties uit te voeren. Dit wordt gevolgd door de implementatie van Krustyloader, een bekende roest-gebaseerde lader die wordt toegeschreven aan UNC5221 die de levering van extra payloads zoals Sliver mogelijk maakt.

De dreigingsactoren zijn ook waargenomen gericht op de MIFS-database door gebruik te maken van hardcodes MySQL-database-referenties die zijn opgeslagen in /mi/files/system/.mifpp om ongeautoriseerde toegang te verkrijgen tot de database en te exfiltrerende gevoelige gegevens die hen kunnen bezoeken in beheerde mobiele apparaten, LDAP-gebruikers, LDAP-gebruikers en Office 365 Refresh en Access Tokens.

Bovendien worden de incidenten gekenmerkt door het gebruik van verduisterde shell -commando’s voor hostverkenning voordat ze Krustyloader van een AWS S3 -bucket en snelle omgekeerde proxy (FRP) laten vallen om netwerkverkenning en laterale beweging te vergemakkelijken. Het is de moeite waard om hier te vermelden dat FRP een open-source tool is die veel wordt gedeeld tussen Chinese hackgroepen.

Eclecticiq zei dat het ook een command-and-control (C2) -server heeft geïdentificeerd geassocieerd met Auto-Color, een Linux-achterdeur die werd gedocumenteerd door Palo Alto Networks Unit 42 zoals gebruikt in aanvallen gericht op universiteiten en overheidsorganisaties in Noord-Amerika en Azië tussen november en december 2024.

“Het IP-adres 146.70.87 (.) 67: 45020, eerder geassocieerd met automatische kleurcommando-en-control-infrastructuur, werd gezien uit uitgaande connectiviteitstests via Curl onmiddellijk na exploitatie van Ivanti EPMM-servers,” wees Büyükkaya op. “Dit gedrag is consistent met de enscenerings- en bakenpatronen van Auto-Color. Samen genomen worden deze indicatoren zeer waarschijnlijk gekoppeld aan China-Nexus-activiteit.”

De openbaarmaking komt als bedreigingsinlichtingenbedrijf Greynoise opmerkte dat het getuige was geweest van een significante piek in scanactiviteiten gericht op Ivanti Connect Secure en Pulse Secure-producten voorafgaand aan de openbaarmaking van CVE-2025-4427 en CVE-2025-4428.

“Hoewel het scannen dat we waarnamen niet direct verbonden was met EPMM, onderstreept de tijdlijn een kritische realiteit: scanactiviteit gaat vaak vooraf aan de publieke opkomst van nul-daagse kwetsbaarheden,” zei het bedrijf. “Het is een leidende indicator – een signaal dat aanvallers kritieke systemen onderzoeken, mogelijk ter voorbereiding op toekomstige uitbuiting.”

Thijs Van der Does