据报道,中国黑客正在利用Ivanti Endpoint Manager Mobile (EPMM)中的一个远程代码执行漏洞攻击全球多个高知名度的组织。这次攻击涉及的漏洞编号为CVE-2025-4428,具有高度严重性评分。该漏洞允许攻击者通过特制的API请求在Ivanti EPMM版本12.5.0.0及更早版本上远程执行代码。Ivanti于2025年5月13日披露了该漏洞,并同时修复了另一个身份验证绕过漏洞(CVE-2025-4427),指出这些问题曾在“非常有限数量的客户”中被利用。
根据EclecticIQ的研究员Arda Büyükkaya的报告,从5月15日以来,CVE-2025-4428漏洞已被广泛利用,并被高置信度地归因于UNC5221活动集。该威胁组织被认为是Ivanti产品的专家,定期利用该公司产品中的零日漏洞。
此次攻击的目标包括英国国家卫生服务机构、北美国家医疗保健和制药供应商、美国医疗设备制造商、斯堪的纳维亚和英国的市政机构、德国联邦研究所、德国电信巨头及其IT子公司、美国网络安全公司、主要美国食品服务分销商、爱尔兰航天租赁公司、德国工业制造商、日本汽车电子和动力传动供应商、美国枪支制造商以及韩国跨国商业和消费银行。这些攻击通过反向shell、数据外泄、数据库导出、持久性恶意软件注入以及滥用内部Office 365令牌和LDAP配置实现了确认的入侵。