EclecticIQ: китайская группа UNC5221 атакует Ivanti EPMM по всему миру, используя свежие уязвимости без аутентификации

Эксперты EclecticIQ опубликовали отчёт, в котором зафиксировано масштабное использование уязвимостей в Ivanti Endpoint Manager Mobile (EPMM) хакерами из Китая. Документ охватывает эпизоды, начавшиеся с 15 мая 2025 года, и затрагивает инциденты в странах Европы, Северной Америки и АТР.

Две бреши — CVE-2025-4427 и CVE-2025-4428 — были устранены разработчиком лишь неделю назад. Объединение этих уязвимостей позволяет атакующему выполнять произвольный код на устройствах под управлением EPMM без авторизации. Это даёт возможность обойти защиту и внедрить вредоносные модули прямо в корпоративные мобильные инфраструктуры.

По данным EclecticIQ, за атаками стоит UNC5221 — группа, которую связывают с китайским кибершпионажем. С 2023 года её активность фиксировалась в контексте атак на сетевую периферию, а совсем недавно ей приписывались попытки эксплуатации уязвимости в SAP NetWeaver (CVE-2025-31324). Актуальная операция направлена на медицинские учреждения, телеком-компании, авиацию, финансовые структуры, оборонные и государственные ведомства.

Исследователь Арда Бююккая отметил, что группа досконально изучила архитектуру EPMM и умеет использовать встроенные системные элементы для тайного извлечения информации. Поскольку платформа EPMM управляет конфигурациями корпоративных мобильных устройств, успешное внедрение даёт злоумышленникам широкие возможности: от удалённого доступа до подмены данных и полной компрометации мобильной экосистемы.

Сценарий атаки начинается с обращения к уязвимой конечной точке API «/mifs/rs/api/v2/». Это позволяет получить интерактивную удалённую оболочку, а затем — выполнить произвольные команды. После захвата доступа хакеры устанавливают KrustyLoader — модуль, написанный на Rust, который используется для доставки дополнительных вредоносных компонентов. Одним из таких компонентов стал фреймворк Sliver, применяемый для постэксплуатационного контроля над заражёнными системами.