La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha publicado un análisis del malware implementado en ataques que explotan vulnerabilidades que afectan a Ivanti Endpoint Manager Mobile (EPMM).
Los defectos son un bypass de autenticación en el componente API de EPMM (CVE-2025-4427) y una vulnerabilidad de inyección de código (CVE-2025-4428) que permite la ejecución de código arbitrario.
Las dos vulnerabilidades afectan las siguientes ramas de desarrollo de Ivanti EPMM y sus lanzamientos anteriores: 11.12.0.4, 12.3.0.1, 12.4.0.1 y 12.5.0.0.
Ivanti abordó los problemas el 13 de mayo, pero los actores de amenaza ya habían sido explotándolos como días cero en ataques contra «un número muy limitado de clientes».
Aproximadamente una semana después, la plataforma de inteligencia de amenazas Eclecticiq reportado con alta confianza que un grupo de espionaje de China-Nexus estaba aprovechando las dos vulnerabilidades desde al menos el 15 de mayo.
Los investigadores dijeron que el actor de amenaza vinculado a China tiene mucho conocimiento de la arquitectura interna de Ivanti Epmm, siendo capaz de reutilizar componentes del sistema para exfiltrar los datos.
Sin embargo, el informe de CISA no hace ninguna atribución y se enfoca solo en los detalles técnicos de los archivos maliciosos obtenidos de una organización atacada por actores de amenaza utilizando una cadena de exploit para CVE-2025-4427 y CVE-2025-4428.
Entrega de malware dividido
La Agencia de los Estados Unidos analizó dos conjuntos de malware que constan de cinco archivos que los piratas informáticos usaron para obtener acceso inicial a los sistemas IVANTI EPMM en las instalaciones.
«Los actores de amenaza cibernética atacaron /MIFS/RS/API/V2/ punto final con http get solicitudes y usó el ? formato = Parámetro para enviar comandos remotos maliciosos ”, CISA dice.
Los comandos permiten que el actor de amenaza ejecute la actividad de reconocimiento mediante la recopilación de información del sistema, enumerando el directorio raíz, mapeando la red, obteniendo archivos maliciosos y extrayendo credenciales de protocolo de acceso de directorio ligero (LDAP).
Cada uno de los conjuntos de malware analizados incluía un cargador distinto pero con el mismo nombre, y oyentes maliciosos que permiten inyectar y ejecutar código arbitrario en el sistema comprometido:
- Set 1:
- Web-Install.Jar (Cargador 1)
- Reflectutil.class – incluido en el cargador 1, manipula los objetos de Java para inyectar y administrar el oyente malicioso en el set
- SecurityHandlerwanListener.class – oyente malicioso que podría usarse para inyectar y ejecutar código en el servidor, exfiltrar datos y establecer persistencia
- Establecer 2:
- Web-Install.Jar (Cargador 2)
- WeBandroroidAppinstaller.class – Un oyente malicioso en el cargador 2, que el actor de amenaza podría usar para inyectar y ejecutar código, crear persistencia y exfiltrar datos
Según CISA, el actor de amenaza entregó el malware a través de solicitudes de HTTP separadas en trozos segmentados codificados en Base64.
Los dos conjuntos de malware distintos funcionan de manera similar, interceptando solicitudes HTTP específicas para decodificar y ejecutar cargas útiles proporcionadas por los atacantes.
CISA ha proporcionado indicadores detallados de compromiso (COI), reglas de Yara y una regla de Sigma para ayudar a las organizaciones a detectar tales ataques.
La recomendación de la agencia para las empresas que encuentran el malware analizado o archivos similares en sus sistemas es aislar los hosts afectados, recopilar y revisar artefactos, y crear una imagen de disco forense completa para compartir con CISA.
Como acción de mitigación, CISA recomienda parchear a Ivanti EPMM afectados de inmediato y tratar los sistemas de gestión de dispositivos móviles (MDM) como activos de alto valor (HVA) que requieren restricciones de seguridad adicionales y monitoreo.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
