Source : GreyNoise (Threat Signals), 10 février 2026. Contexte : GreyNoise rapporte une exploitation active de vulnérabilités critiques Ivanti EPMM, majoritairement orchestrée depuis une IP sur infrastructure « bulletproof », alors que des IOC largement partagés ne correspondent pas à l’activité Ivanti observée.

• Vulnérabilités et chronologie. GreyNoise couvre CVE-2026-1281 (CVSS 9.8), une RCE non authentifiée dans Ivanti EPMM via une expansion arithmétique Bash dans le mécanisme de livraison de fichiers, et CVE-2026-1340 (CVSS 9.8), une injection de code liée dans un autre composant. Le 29 janvier, Ivanti publie son avis, CISA ajoute CVE-2026-1281 au catalogue KEV (délai de remédiation 3 jours) et les autorités néerlandaises confirment des compromissions (AP, RVDR) via EPMM. Le 30 janvier, watchTowr Labs publie une analyse technique et un PoC apparaît sur GitHub; NHS England, CERT-EU et NCSC-NL confirment l’exploitation active.

• Ce que les capteurs GreyNoise ont observé. Premières tentatives détectées le 1er février; entre le 1er et le 9 février, 417 sessions d’exploitation depuis 8 IP sources. Pic notable le 8 février avec 269 sessions (≈13× la moyenne quotidienne précédente). Une seule IP domine : 193[.]24[.]123[.]42 (PROSPERO OOO, AS200593, étiqueté « BULLETPROOF » par Censys) représente 83 % des sessions (346/417) et n’apparaît pas dans les IOC publiés. Cette IP exploite en parallèle plusieurs CVE (plateforme multi-exploitation) et alterne 300+ user-agents, indiquant un outillage automatisé. Aucune attribution d’acteur n’est posée.

• Tactiques et objectif de la campagne. Dans 85 % des sessions, les charges utilisent des callbacks DNS OAST (RCE « aveugle ») pour vérifier l’exécution sans déployer immédiatement de charge utile, suggérant un catalogage des cibles vulnérables (logique d’« initial access »). Des recherches externes (Defused Cyber, 9 février) signalent des chargeurs Java en mémoire dormants à /mifs/403.jsp, activés par paramètre spécifique, sans exploitation de suivi observée, cohérentes avec des implants dormants et des pratiques d’initial access broker.

• Déficit des IOC publiés. Plusieurs IOC largement diffusés ne correspondent pas à l’activité Ivanti dans la télémétrie GreyNoise : une plage Windscribe VPN 185[.]212[.]171[.]0/24 (M247, AS9009, Amsterdam) incluant quatre IP IOC (.151, .156, .137, .134) a généré 29 588 sessions/30 j, 99 % visant Oracle WebLogic TCP/7001, et 0 session Ivanti EPMM. Deux de ces IP n’ont aucune session sur 30 jours. Un autre IOC, 151[.]177[.]78[.]0 (routeur ASUS résidentiel Tele2 à Göteborg, firmware obsolète), n’apparaît jamais chez GreyNoise, suggérant un usage ciblé et non un scanning large. Conséquence : bloquer uniquement ces IOC « populaires » peut manquer la source principale (AS200593/PROSPERO) observée par GreyNoise.

• IOCs et TTPs

IOC réseau (extraits)

  • 193[.]24[.]123[.]42 — PROSPERO OOO (AS200593) — source dominante (83 % des sessions Ivanti)
  • 45[.]129[.]230[.]38 — ColocaTel Inc. (AS213438)
  • 198[.]98[.]54[.]209 — FranTech Solutions (AS53667)
  • 156[.]146[.]45[.]26 — Datacamp Limited (AS212238)
  • 198[.]98[.]56[.]220 — FranTech Solutions (AS53667)
  • 3 IP supplémentaires (1 session chacune, divers)
  • Plage IOC partagée : 185[.]212[.]171[.]0/24 (Windscribe VPN, M247 AS9009) — trafic majoritairement WebLogic (pas Ivanti)
  • 151[.]177[.]78[.]0 — routeur ASUS résidentiel Tele2 (aucune activité internet-wide chez GreyNoise)

CVE et cibles observées

  • CVE-2026-1281 — Ivanti EPMM — RCE non authentifiée (via expansion arithmétique Bash)
  • CVE-2026-1340 — Ivanti EPMM — injection de code (composant distinct)
  • CVE-2026-21962 — Oracle WebLogic — 2 902 sessions (depuis 193[.]24[.]123[.]42)
  • CVE-2026-24061 — GNU Inetutils Telnetd — 497 sessions
  • CVE-2025-24799 — GLPI — 200 sessions

TTPs clés 🧰

  • Vérification « blind RCE » via callbacks DNS OAST (85 % des charges)
  • Staging/implant dormant: classeurs Java en mémoire à /mifs/403.jsp (activation par paramètre)
  • Rotation massive d’User-Agents (300+), multi-CVE/multi-cibles simultanées
  • Usage d’infrastructures bulletproof (AS200593) et de sorties VPN partagées
  • Scanning Oracle WebLogic dominant sur TCP/7001 depuis la plage VPN listée

Il s’agit d’une analyse de menace fondée sur la télémétrie GreyNoise et des recoupements de recherche externes, visant à corriger des IOC erronés et à documenter l’infrastructure réellement active.

🧠 TTPs et IOCs détectés

TTP

[“Vérification ‘blind RCE’ via callbacks DNS OAST”, ‘Staging/implant dormant: classeurs Java en mémoire à /mifs/403.jsp’, ‘Rotation massive d’User-Agents (300+), multi-CVE/multi-cibles simultanées’, ‘Usage d’infrastructures bulletproof (AS200593) et de sorties VPN partagées’, ‘Scanning Oracle WebLogic dominant sur TCP/7001 depuis la plage VPN listée’]

IOC

[‘193.24.123.42’, ‘45.129.230.38’, ‘198.98.54.209’, ‘156.146.45.26’, ‘198.98.56.220’, ‘185.212.171.0/24’, ‘151.177.78.0’]

🔗 Source originale : https://www.greynoise.io/blog/active-ivanti-exploitation