Selon Darktrace (billet de blog), des vulnérabilités d’Ivanti Endpoint Manager Mobile — CVE-2025-4427 et CVE-2025-4428 — sont activement exploitées dans plusieurs environnements clients par l’acteur lié à la Chine UNC5221. L’enquête met en évidence une chaîne d’attaque structurée combinant validation d’exploit, livraison de charge utile et récupération de commandes.

• Points clés: exploitation active de CVE-2025-4427/CVE-2025-4428 sur Ivanti EPMM, attribution à UNC5221 (China‑nexus), déploiement du malware KrustyLoader via AWS S3, et usage de pastebin/dpaste pour des charges dynamiques. Un chevauchement d’infrastructure avec l’exploitation de SAP NetWeaver CVE-2025-31324 suggère des activités coordonnées.

• Chaîne d’attaque et TTPs: validation initiale des exploits par des callbacks vers des domaines OAST; téléchargement HTTP d’exécutables ELF (KrustyLoader) depuis des endpoints AWS S3 via wget/cURL; activités post‑exploitation incluant le téléchargement de scripts .sh; connexions à des services pastebin/dpaste pour récupérer des commandes de manière dynamique; adoption de nouvelles tactiques comme l’usage de dpaste.com pour la commande et le contrôle.

• Détection: Darktrace a détecté ces activités via une analyse comportementale des anomalies, mettant en évidence des user‑agents inhabituels, des téléchargements de fichiers et des schémas de connexion atypiques.

• Observables et liens d’infrastructure: références à des callbacks OAST, des endpoints AWS S3, des fichiers ELF et scripts .sh; pas de domaines/IP/hashes explicitement fournis dans l’extrait. Chevauchement d’infrastructure relevé avec des activités visant SAP NetWeaver (CVE-2025-31324).

Type d’article: analyse de menace visant à documenter une campagne d’exploitation en cours et ses techniques associées.

🧠 TTPs et IOCs détectés

TTPs

Exploitation de vulnérabilités (CVE-2025-4427, CVE-2025-4428), utilisation de domaines OAST pour validation d’exploit, téléchargement de payloads via HTTP depuis AWS S3, utilisation de wget/cURL, exécution de fichiers ELF, téléchargement de scripts .sh, utilisation de pastebin/dpaste pour commande et contrôle, analyse comportementale pour détection d’anomalies

IOCs

Pas de domaines/IP/hashes explicitement fournis dans l’extrait

🔗 Source originale : https://www.darktrace.com/blog/ivanti-under-siege-investigating-the-ivanti-endpoint-manager-mobile-vulnerabilities-cve-2025-4427-cve-2025-4428

🖴 Archive : https://web.archive.org/web/20250810205536/https://www.darktrace.com/blog/ivanti-under-siege-investigating-the-ivanti-endpoint-manager-mobile-vulnerabilities-cve-2025-4427-cve-2025-4428