Duas vulnerabilidades críticas recentemente corrigidas no Ivanti Endpoint Manager Mobile (EPMM) estão sendo ativamente exploradas por um grupo de hackers ligado ao governo chinês, impactando organizações nos setores de saúde, telecomunicações, finanças, aviação, defesa e governo em diferentes partes do mundo, incluindo Europa, América do Norte e Ásia-Pacífico.
Falhas no Ivanti EPMM colocam redes empresariais em risco global
As falhas, catalogadas como CVE-2025-4427 (CVSS 5.3) e CVE-2025-4428 (CVSS 7.2), permitem a execução de código remoto sem autenticação. Corrigidas pela Ivanti na semana passada, essas brechas foram usadas em uma campanha de espionagem atribuída ao grupo UNC5221, conhecido por sua atuação persistente em dispositivos de rede desde 2023.
De acordo com relatório da empresa holandesa EclecticIQ, os ataques começaram em 15 de maio de 2025. O grupo demonstrou amplo conhecimento da arquitetura interna do EPMM, manipulando recursos legítimos para extrair dados sigilosos de forma furtiva.
A exploração se inicia com o endpoint /mifs/rs/api/v2/, usado para obter um shell reverso e executar comandos remotamente. Posteriormente, é implantado o KrustyLoader, um carregador desenvolvido em Rust associado ao UNC5221, que viabiliza a entrega de cargas maliciosas adicionais, como o conhecido backdoor Sliver.
Além disso, os invasores acessaram o banco de dados mifs com credenciais MySQL embutidas no sistema, localizadas no arquivo /mi/files/system/.mifpp, permitindo o roubo de informações críticas como tokens do Office 365, usuários LDAP e detalhes de dispositivos móveis gerenciados.
Os agentes também empregaram técnicas sofisticadas de reconhecimento e movimentação lateral, utilizando comandos ofuscados em shell e removendo o KrustyLoader de um bucket do AWS S3. Para o mapeamento da rede, foi utilizado o Fast Reverse Proxy (FRP), uma ferramenta de código aberto amplamente difundida entre grupos de espionagem chineses.
A investigação da EclecticIQ revelou ainda conexões com a infraestrutura do malware Auto-Color, anteriormente identificado em ataques contra universidades e entidades governamentais entre novembro e dezembro de 2024. Um endereço IP (146.70.87[.]67:45020), usado como servidor C2 do Auto-Color, foi flagrado realizando testes de conectividade logo após os ataques ao Ivanti EPMM.
Esse comportamento reflete o padrão de preparação e execução do Auto-Color e reforça a origem chinesa da operação.
Atividade de varredura antecedeu os ataques
A divulgação acontece após um alerta da empresa GreyNoise, que detectou aumento de escaneamentos voltados para produtos Ivanti Connect Secure e Pulse Secure antes mesmo das falhas CVE-2025-4427 e CVE-2025-4428 se tornarem públicas.
Segundo a empresa, esse padrão reforça que agentes de ameaças costumam realizar reconhecimento em larga escala como preparação para futuras explorações. Ou seja, a varredura de sistemas críticos frequentemente antecipa campanhas maliciosas baseadas em vulnerabilidades de dia zero.
