Negli ultimi giorni è emerso un nuovo allarme sicurezza che coinvolge le vulnerabilità di Ivanti Endpoint Manager Mobile (EPMM), sfruttate da un gruppo di hacker collegati alla Cina conosciuto come UNC5221. Queste vulnerabilità, identificate come CVE-2025-4427 e CVE-2025-4428, sono state recentemente corrette da Ivanti, ma prima della patch sono state utilizzate per attacchi mirati contro organizzazioni in Europa, Nord America e nell’area Asia-Pacifico.

Le falle di sicurezza permettono l’esecuzione di codice arbitrario su dispositivi esposti senza alcun bisogno di autenticazione, rendendo l’attacco estremamente pericoloso soprattutto per quelle aziende che utilizzano EPMM per gestire e configurare flotte di dispositivi mobili aziendali. I primi segnali di sfruttamento risalgono al 15 maggio 2025 e hanno colpito settori critici come sanità, telecomunicazioni, aviazione, enti pubblici, finanza e difesa.

UNC5221: tecniche e vettori di attacco

UNC5221 si distingue per la profonda conoscenza dell’architettura interna di EPMM. Gli aggressori hanno riutilizzato componenti di sistema legittimi per nascondere attività di esfiltrazione dati. La catena di attacco inizia con l’accesso all’endpoint "/mifs/rs/api/v2/" per ottenere una shell interattiva e lanciare comandi da remoto. Successivamente viene utilizzato KrustyLoader, un loader scritto in Rust già associato a UNC5221, che permette di scaricare ulteriori payload dannosi come Sliver.

Un aspetto particolarmente critico dell’attacco riguarda l’abuso di credenziali MySQL hardcoded presenti nei file di sistema EPMM. Attraverso queste credenziali, i cybercriminali ottengono accesso non autorizzato ai database, sottraendo informazioni sensibili relative ai dispositivi gestiti, utenti LDAP e token di accesso e refresh di Office 365.

Strumenti e infrastrutture utilizzate

Gli attacchi sono caratterizzati anche dall’uso di comandi shell offuscati per la ricognizione iniziale, dal download di KrustyLoader tramite un bucket AWS S3 e dall’impiego di Fast Reverse Proxy (FRP), uno strumento opensource molto diffuso tra i gruppi hacker cinesi per facilitare movimenti laterali nella rete. Inoltre, è stato individuato l’uso di un server di comando e controllo associato al malware Linux Auto-Color, già noto per attacchi contro università e enti governativi in Nord America e Asia.

Raccomandazioni e quadro della minaccia

Questa ondata di attacchi evidenzia come i gruppi APT stiano monitorando attivamente la comparsa di nuove vulnerabilità zero-day, come confermato anche dai dati di intelligence che hanno rilevato un picco di scansioni su prodotti Ivanti poco prima della divulgazione ufficiale delle falle. Per ridurre i rischi, è fondamentale applicare tempestivamente le patch di sicurezza e monitorare costantemente l’infrastruttura per segnali di compromissione.