Yakın zamanda Ivanti Endpoint Manager Mobile (EPMM) yazılımını etkileyen yakın zamanda yamalı bir çift güvenlik kusuru, bir Çin-Nexus tehdit oyuncusu tarafından Avrupa, Kuzey Amerika ve Asya-Pasifik bölgesinde çok çeşitli sektörü hedeflemek için kullanıldı.
CVE-2025-4427 (CVSS skoru: 5.3) ve CVE-2025-4428 (CVSS skoru: 7.2) olarak izlenen güvenlik açıkları, herhangi bir kimlik doğrulama gerektirmeden savunmasız bir cihazda keyfi kod yürütmek için zincirlenebilir. Geçen hafta Ivanti tarafından ele alındı.
Şimdi, Eclecticiq’ten gelen bir rapora göre, güvenlik açığı zinciri, en az 2023’ten beri Edge Network cihazlarını hedeflemesi ile bilinen bir Çin siber casusluk grubu olan UNC5221 tarafından kötüye kullanıldı. Hacking ekibi, CVE-2025-31324’ten kaynaklanan SAP netweaver örneklerini hedefleyen sömürü çabalarına bağlandı.
Hollanda Siber Güvenlik Şirketi, en eski sömürü faaliyetinin 15 Mayıs 2025’e kadar uzandığını ve sağlık hizmetleri, telekomünikasyon, havacılık, belediye hükümeti, finans ve savunma sektörlerini hedefleyen saldırılarla birlikte olduğunu söyledi.
Güvenlik araştırmacısı ARDA BUYKAYA, “UNC5221, EPMM’nin iç mimarisinin derin bir anlayışını gösteriyor ve gizli veri açığa çıkması için meşru sistem bileşenlerini yeniden yerleştiriyor.” Dedi. Diyerek şöyle devam etti: “EPMM’nin yapılandırmaları kurumsal mobil cihazlara yönetme ve itme rolü göz önüne alındığında, başarılı bir sömürü tehdit aktörlerinin bir kuruluş genelinde binlerce yönetilen cihaza uzaktan erişmesine, manipüle etmesine veya tehlikeye atmasına izin verebilir.”
Saldırı dizisi, etkileşimli bir ters kabuk elde etmek ve Ivanti EPMM dağıtımlarında uzaktan keyfi komutlar yürütmek için “/MIFS/RS/API/V2/” uç noktasının hedeflenmesini içerir. Bunu, UNC5221’e atfedilen ve şerit gibi ek yüklerin teslim edilmesini sağlayan bilinen bir pas tabanlı yükleyici olan KrustyLoader’ın dağıtımını takip eder.
Tehdit aktörleri ayrıca, veritabanına yetkisiz erişim elde etmek ve yönetilmiş mobil kullanıcılara, LDAP kullanıcılarına ve Office 365’e erişim için görülebilebilecek hassas verileri söndürmek için /mi/files/system/.mifpp’de depolanan sert kodlanmış MySQL veritabanı kimlik bilgilerinden yararlanarak MIFS veritabanını hedefledikleri gözlemlenmiştir.
Ayrıca, olaylar, ağ keşfi ve yanal hareketi kolaylaştırmak için KrustyLoader’ı AWS S3 kovasından ve hızlı ters proxy’den (FRP) bırakmadan önce konakçı keşif için gizlenmiş kabuk komutlarının kullanımı ile karakterize edilir. Burada FRP’nin Çin hackleme grupları arasında yaygın olarak paylaşılan açık kaynaklı bir araç olduğunu belirtmek gerekir.
ECLECTICIQ, Kasım ve Aralık 2024 arasında Kuzey Amerika ve Asya’daki üniversitelerde ve hükümet kuruluşlarına yönelik saldırılarda kullanılan Palo Alto Networks Birimi 42 tarafından belgelenen bir Linux arka kapı olan otomatik renkle ilişkili bir komut ve kontrol (C2) sunucusu da belirlediğini söyledi.
“IP Adresi 146.70.87[.]67: 45020, daha önce otomatik renk komut ve kontrol altyapısı ile ilişkili olan 45020, Ivanti EPMM sunucularının kullanılmasından hemen sonra kıvrılma yoluyla giden bağlantı testleri çıkardı. ” Birlikte ele alındığında, bu göstergeler büyük olasılıkla Çin-Nexus faaliyetine bağlanıyor. “
Açıklama, tehdit istihbarat firması Greynoise, CVE-2025-4427 ve CVE-2025-4428’in açıklanmasından önce Ivanti Connect Secure ve Nabız Güvenli Ürünleri hedefleyen tarama etkinliğinde önemli bir artışa tanık olduğunu belirtti.
Şirket, “Gözlemlediğimiz tarama doğrudan EPMM’ye bağlı olmasa da, zaman çizelgesi kritik bir gerçekliğin altını çiziyor: tarama faaliyeti genellikle halkın sıfır gün güvenlik açıklarının ortaya çıkmasından önce geliyor.” Dedi. Diyerek şöyle devam etti: “Bu önde gelen bir gösterge – saldırganların potansiyel olarak gelecekteki sömürüye hazırlık için kritik sistemleri araştırdığına dair bir sinyal.”