Il 22 maggio 2025, The Hacker News ha riportato che il gruppo di cyber spionaggio cinese UNC5221 ha sfruttato due vulnerabilità recentemente corrette nel software Ivanti Endpoint Manager Mobile (EPMM) per condurre attacchi mirati a livello globale. Le vulnerabilità, identificate come CVE-2025-4427 e CVE-2025-4428, consentono l’esecuzione di codice arbitrario su dispositivi vulnerabili senza necessità di autenticazione.
Gli attacchi, iniziati il 15 maggio 2025, hanno preso di mira settori critici come sanità, telecomunicazioni, aviazione, enti governativi locali, finanza e difesa in Europa, Nord America e Asia-Pacifico. UNC5221 ha dimostrato una profonda conoscenza dell’architettura interna di EPMM, utilizzando componenti di sistema legittimi per esfiltrare dati in modo furtivo.
Il gruppo ha sfruttato l’endpoint “/mifs/rs/api/v2/” per ottenere una shell inversa interattiva e eseguire comandi remoti su implementazioni di Ivanti EPMM. Successivamente, è stato distribuito KrustyLoader, un loader basato su Rust attribuito a UNC5221, che consente la consegna di payload aggiuntivi come Sliver. Gli attaccanti hanno anche utilizzato credenziali MySQL hard-coded per accedere non autorizzati al database e esfiltrare dati sensibili relativi a dispositivi mobili gestiti, utenti LDAP e token di accesso Office 365.
Gli attacchi sono caratterizzati dall’uso di comandi shell offuscati per la ricognizione dell’host, seguiti dal rilascio di KrustyLoader da un bucket AWS S3 e dall’utilizzo di Fast Reverse Proxy (FRP) per facilitare la ricognizione della rete e il movimento laterale. FRP è uno strumento open-source ampiamente condiviso tra i gruppi di hacking cinesi.
Ivanti ha rilasciato patch per entrambe le vulnerabilità e ha fortemente raccomandato ai clienti di seguire le linee guida delineate nell’avviso di sicurezza ufficiale per proteggere i loro ambienti il prima possibile.
Gli attacchi di UNC5221 evidenziano l’importanza di una gestione proattiva delle vulnerabilità e della sicurezza dei dispositivi mobili aziendali. Le organizzazioni devono assicurarsi di applicare tempestivamente le patch di sicurezza e monitorare costantemente le loro infrastrutture per rilevare attività sospette.
Copyright @2023 Leonardo Network S.r.l. VAT IT01749180533. All Rights Reserved.
