Az Ivanti Endpoint Manager Mobile (EPMM) két közelmúltbeli sebezhetőségét használta ki egy feltételezhetően Kínához köthető kiberkémkedési csoport. A CVE-2025-4427 és a CVE-2025-4428 azonosítókon nyomon követett közepes súlyosságú sérülékenységek az EPMM-be integrált két nyílt forráskódú könyvtárát érintik. A sérülékenységek összekapcsolásával a támadók hitelesítés nélküli távoli kódfuttatást (RCE) érhetnek el a sebezhető rendszereken.
Az Ivanti 2025. május 13-án javította a két nulladik napi (zero-day) sérülékenységet. Ennek ellenére a Wiz kiberbiztonsági cég arra figyelmeztetett, hogy néhány nappal később közzétették a biztonsági hibákat célzó proof-of-concept (PoC) exploit kódot, amit a támadók rövid időn belül ki is használtak. A Wiz megállapításait igazolva az EclecticIQ is figyelmeztet ezen sebezhetőségek folyamatos kihasználására.
A megfigyelt támadásokat egy Kínához köthető támadócsoportnak tulajdonítják, amelyet UNC5221 néven követtek nyomon. Az UNC5221 csoport már 2023 óta az eszközök nulladik napi sebezhetőségeinek kihasználásáról ismert, nagy mennyiségű adatot szivárogtat ki a sebezhető készülékekből, például személyazonosításra alkalmas adatokat, hitelesítő adatokat és egyéb érzékeny információkat. A támadások során az UNC5221 az FRP (Fast Reverse Proxy) nevű nyílt forráskódú eszközt telepítette, amely fordított SOCKS5 proxyt hoz létre a folyamatos távoli hozzáférés biztosításának érdekében, valamint a KrustyLoader nevű komponenst, amelyet jellemzően a Sliver backdoor telepítésére használnak. A hackercsoport shell-parancsokat használt felderítéshez, valamint nyomait valós időben rejtette el.
Május 15-ike óta a hackercsoport sebezhető, interneten elérhető EPMM-példányokat céloz meg a légiközlekedési-, védelmi-, pénzügyi-, önkormányzati-, egészségügyi- és távközlési szervezetek ellen, hogy az alapvető működésükhöz szükséges adatokat tartalmazó fájlokat kiszivárogtassa. Az EclecticIQ által azonosított célpontok között szerepel Németország egyik legnagyobb távközlési szolgáltatója, egy kiberbiztonsági cég, egy amerikai székhelyű lőfegyvergyártó és egy dél-koreai multinacionális bank.
Az EclecticIQ azt is hozzáteszi, figyelembe véve, hogy az EPMM kulcsszerepet játszik a konfigurációk kezelésében és azok továbbításában, a sikeres kihasználás lehetővé teheti a fenyegetés szereplők számára, hogy távolról hozzáférjenek, manipulálják vagy kompromittáljanak több ezer felügyelt eszközt.