La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) publicó el jueves detalles de dos conjuntos de malware que se descubrieron en la red de una organización anónima tras la explotación de las fallas de seguridad en Ivanti Endpoint Manager Mobile (EPMM).
«Cada conjunto contiene cargadores para oyentes malintencionados que permiten a los actores de ciberamenazas ejecutar código arbitrario en el servidor comprometido», dijo CISA dijo en una alerta.
Las vulnerabilidades que se explotaron en el ataque incluyen CVE-2025-4427 y CVE-2025-4428 , los cuales han sido objeto de abuso por considerarlos de cero días antes de que Ivanti los abordara en mayo de 2025.
Mientras que el CVE-2025-4427 se refiere a una elusión de autenticación que permite a los atacantes acceder a los recursos protegidos, el CVE-2025-4428 permite la ejecución remota de código. Como resultado, las dos fallas podrían encadenarse para ejecutar código arbitrario en un dispositivo vulnerable sin autenticación.
Según la CISA, los atacantes obtuvieron acceso al servidor que ejecutaba EPMM al combinar las dos vulnerabilidades alrededor del 15 de mayo de 2025, tras la publicación de un exploit de prueba de concepto (PoC).
Esto permitió a los atacantes ejecutar comandos que permitían recopilar información del sistema, descargar archivos maliciosos, enumerar el directorio raíz, mapear la red, ejecutar scripts para crear un montón de datos y volcar las credenciales del Protocolo ligero de acceso a directorios (LDAP), agregó la agencia.
Un análisis más detallado determinó que los ciberdelincuentes colocaron dos conjuntos de archivos maliciosos en el directorio «/tmp», cada uno de los cuales permitía la persistencia al inyectar y ejecutar código arbitrario en el servidor comprometido:
- Set 1 - web-install.jar (también conocido como Loader 1), ReflectUtil.class y SecurityHandlerWanListener.class
- Set 2 - web-install.jar (también conocido como Loader 2) y WebAndroidAppInstaller.class
En concreto, ambos conjuntos contienen un cargador que lanza un detector de clases Java compilado de forma malintencionada que intercepta solicitudes HTTP específicas y las procesa para decodificar y descifrar las cargas útiles para su posterior ejecución.
«ReflectUtil.class manipula los objetos Java para inyectar y administrar el detector malicioso SecurityHandlerWANListener en Apache Tomcat», afirma CISA. «[SecurityHandlerWanListener.class] un detector malintencionado que intercepta solicitudes HTTP específicas y las procesa para decodificar y descifrar las cargas útiles, que crean y ejecutan de forma dinámica una nueva clase».
WebAndroidAppInstaller.class, por otro lado, funciona de manera diferente al recuperar y descifrar un parámetro de contraseña de la solicitud mediante una clave codificada, cuyo contenido se usa para definir e implementar una nueva clase. A continuación, el resultado de la ejecución de la nueva clase se cifra con la misma clave codificada y genera una respuesta con la salida cifrada.
El resultado final es que permite a los atacantes inyectar y ejecutar código arbitrario en el servidor, lo que permite la actividad de seguimiento y la persistencia, así como extraer datos mediante la interceptación y el procesamiento de las solicitudes HTTP.
Para mantenerse protegidas contra estos ataques, se recomienda a las organizaciones que actualicen sus instancias a la versión más reciente, supervisen los signos de actividad sospechosa e implementen las restricciones necesarias para evitar el acceso no autorizado a los sistemas de administración de dispositivos móviles (MDM).