
Sepasang kelemahan keamanan yang baru-baru ini ditambal yang mempengaruhi perangkat lunak Ivanti Endpoint Manager Mobile (EPMM) telah dieksploitasi oleh aktor ancaman China-Nexus untuk menargetkan berbagai sektor di seluruh Eropa, Amerika Utara, dan wilayah Asia-Pasifik.
Kerentanan, dilacak sebagai CVE-2025-4427 (skor CVSS: 5.3) dan CVE-2025-4428 (skor CVSS: 7.2), dapat dirantai untuk menjalankan kode sewenang-wenang pada perangkat yang rentan tanpa memerlukan otentikasi apa pun. Mereka ditangani oleh Ivanti minggu lalu.
Sekarang, menurut sebuah laporan dari Eclecticiq, rantai kerentanan telah disalahgunakan oleh UNC5221, sebuah kelompok spionase cyber Cina yang dikenal karena penargetan peralatan jaringan Edge sejak setidaknya tahun 2023. Baru-baru ini, kru peretasan juga dikaitkan dengan upaya eksploitasi yang menargetkan instance SAP Netweaver yang rentan terhadap CVE-2025-3-333.

Perusahaan keamanan siber Belanda mengatakan kegiatan eksploitasi paling awal berasal dari 15 Mei 2025, dengan serangan yang menargetkan layanan kesehatan, telekomunikasi, penerbangan, pemerintah kota, keuangan, dan sektor pertahanan.
“UNC5221 menunjukkan pemahaman yang mendalam tentang arsitektur internal EPMM, menggunakan kembali komponen sistem yang sah untuk exfiltration data rahasia,” kata peneliti keamanan Arda Büyükaya. “Mengingat peran EPMM dalam mengelola dan mendorong konfigurasi ke perangkat seluler Enterprise, eksploitasi yang sukses dapat memungkinkan para aktor ancaman untuk mengakses, memanipulasi, atau mengkompromikan ribuan perangkat yang dikelola dari jarak jauh di seluruh organisasi.”

Urutan serangan melibatkan penargetan titik akhir “/MIFS/RS/API/V2/” untuk mendapatkan cangkang terbalik interaktif dan secara jarak jauh menjalankan perintah sewenang -wenang pada penyebaran Ivanti EPMM. Ini diikuti oleh penyebaran Krustyloader, loader berbasis karat yang diketahui yang dikaitkan dengan UNC5221 yang memungkinkan pengiriman muatan tambahan seperti Sliver.
Aktor ancaman juga telah diamati menargetkan database MIFS dengan memanfaatkan kredensial database MySQL yang dikodekan dengan harded yang disimpan di /mi/files/system/.mifpp untuk mendapatkan akses yang tidak sah ke database dan mengekspresikan data sensitif.

Selain itu, insiden tersebut ditandai dengan penggunaan perintah shell yang dikaburkan untuk pengintaian host sebelum menjatuhkan Krustyloader dari AWS S3 Bucket dan Fast Reverse Proxy (FRP) untuk memfasilitasi pengintaian jaringan dan gerakan lateral. Perlu disebutkan di sini bahwa FRP adalah alat open-source yang dibagikan secara luas di antara kelompok peretasan Cina.
Eclecticiq mengatakan juga mengidentifikasi server perintah-dan-kontrol (C2) yang terkait dengan Auto-Color, sebuah backdoor Linux yang didokumentasikan oleh Palo Alto Networks Unit 42 seperti yang digunakan dalam serangan yang ditujukan pada universitas dan organisasi pemerintah di Amerika Utara dan Asia antara November dan Desember 2024.

“Alamat IP 146.70.87[.]67: 45020, yang sebelumnya terkait dengan infrastruktur perintah dan kontrol warna otomatis, terlihat mengeluarkan tes konektivitas keluar melalui curl segera setelah eksploitasi server Ivanti EPMM, “kata Büyükkaya.” Perilaku ini konsisten dengan pola pementasan dan suar auto-wol. Secara keseluruhan, indikator-indikator ini sangat mungkin terhubung dengan aktivitas China-Nexus. “
Pengungkapan itu datang ketika perusahaan intelijen ancaman Greynoise mencatat bahwa mereka telah menyaksikan lonjakan signifikan dalam aktivitas pemindaian yang menargetkan produk Ivanti Connect Secure dan Pulse Secure sebelum pengungkapan CVE-2025-4427 dan CVE-2025-4428.
“Sementara pemindaian yang kami amati tidak secara langsung terikat pada EPMM, garis waktu menggarisbawahi kenyataan kritis: aktivitas pemindaian sering mendahului munculnya publik dari kerentanan nol-hari,” kata perusahaan itu. “Ini adalah indikator utama – sinyal bahwa penyerang sedang menyelidiki sistem kritis, berpotensi dalam persiapan untuk eksploitasi di masa depan.”