Una parte importante de los intentos de explotación dirigidos a una falla de seguridad recientemente revelada en Ivanti Endpoint Manager Mobile (EPMM) se remonta a una única dirección IP en la infraestructura de alojamiento a prueba de balas que ofrece PROSPERO.

La empresa de inteligencia de amenazas GreyNoise dijo registró 417 sesiones de explotación desde 8 direcciones IP de origen únicas entre el 1 y el 9 de febrero de 2026. Se estima que 346 sesiones de explotación se originaron a partir de 193.24.123 [.] 42, lo que representa el 83% de todos los intentos.

La actividad maliciosa está diseñada para explotar CVE-2026-1281 (puntuación CVSS: 9,8), una de las dos vulnerabilidades de seguridad críticas de EPMM, junto con CVE-2026-1340 que un atacante podría aprovechar para lograr la ejecución remota de código sin autenticar. A finales del mes pasado, Ivanti reconoció que tenía conocimiento de un «número muy limitado de clientes» que se habían visto afectados por la explotación inmediata de los problemas.

adsense

Desde entonces, varias agencias europeas, como la Autoridad Holandesa de Protección de Datos (AP) de los Países Bajos, el Consejo del Poder Judicial, la Comisión Europea y Valtori de Finlandia, han divulgado que fueron atacados por actores de amenazas desconocidos que utilizaban las vulnerabilidades.

Un análisis más detallado ha revelado que el mismo host ha estado explotando simultáneamente otras tres CVE en software no relacionado -

«La IP gira a través de más de 300 cadenas de agentes de usuario únicas que abarcan Chrome, Firefox, Safari y múltiples variantes del sistema operativo», afirma GreyNoise. «Esta diversidad de huellas digitales, combinada con la explotación simultánea de cuatro productos de software no relacionados entre sí, es coherente con las herramientas automatizadas».

Vale la pena señalar que PROSPERO es juzgado para estar vinculado a otro sistema autónomo llamado Proton66, que tiene un historial de distribución de malware para computadoras de escritorio y Android como GootLoader, Matanbuchus, SpyNote, Coper (también conocido como Octo) y SocgHolish.

GreyNoise también señaló que el 85% de las sesiones de explotación llegaron a casa a través del sistema de nombres de dominio (DNS) para confirmar que «este objetivo es explotable» sin implementar ningún malware ni filtrar datos.

La revelación se produce días después de que Defused Cyber informara sobre una campaña «oculta» en la que se desplegaba un cargador de clases Java en memoria inactivo en instancias de EPMM comprometidas en la ruta «/mifs/403.jsp». La empresa de ciberseguridad afirmó que la actividad es indicativa del oficio de agente de acceso inicial, en el que los atacantes establecen un punto de apoyo para vender o transferir el acceso más adelante con el fin de obtener beneficios económicos.

enlaces

«Ese patrón es significativo», señaló. «Las llamadas recibidas de OAST [pruebas de seguridad de aplicaciones fuera de banda] indican que la campaña está catalogando qué objetivos son vulnerables, en lugar de implementar las cargas de forma inmediata. Esto concuerda con las operaciones de acceso iniciales, que primero verifican la explotabilidad e implementan las herramientas de seguimiento más adelante».

Se recomienda a los usuarios de Ivanti EPMM que apliquen los parches, auditen la infraestructura de administración de dispositivos móviles (MDM) conectada a Internet, revisen los registros de DNS para ver si hay devoluciones de llamadas según el patrón OAST, supervisen la ruta /mifs/403.jsp en las instancias de EPMM y bloqueen el sistema autónomo de PROSPERO (AS200593) a nivel del perímetro de la red.

«El compromiso de EPMM proporciona acceso a la infraestructura de administración de dispositivos para organizaciones enteras, creando una plataforma de movimiento lateral que evita la segmentación de red tradicional», afirma GreyNoise. «Las organizaciones con MDM, concentradores de VPN u otra infraestructura de acceso remoto con conexión a Internet deben partir del supuesto de que las vulnerabilidades críticas se explotan a las pocas horas de ser reveladas».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.