Exploitation active des failles Ivanti EPMM (CVE-2025-4427/4428) par UNC5221 détectée par Darktrace
Selon Darktrace (billet de blog), des vulnérabilités d’Ivanti Endpoint Manager Mobile — CVE-2025-4427 et CVE-2025-4428 — sont activement exploitées dans plusieurs environnements clients par l’acteur lié à la Chine UNC5221. L’enquête met en évidence une chaîne d’attaque structurée combinant validation d’exploit, livraison de charge utile et récupération de commandes. • Points clés: exploitation active de CVE-2025-4427/CVE-2025-4428 sur Ivanti EPMM, attribution à UNC5221 (China‑nexus), déploiement du malware KrustyLoader via AWS S3, et usage de pastebin/dpaste pour des charges dynamiques. Un chevauchement d’infrastructure avec l’exploitation de SAP NetWeaver CVE-2025-31324 suggère des activités coordonnées. ...