استغلّت مجموعة تهديد صينية ثغرتين أمنيتين تم ترقيعهما مؤخرًا في برنامج Ivanti Endpoint Manager Mobile (EPMM)، لاستهداف قطاعات متنوعة في أوروبا وأمريكا الشمالية ومنطقة آسيا والمحيط الهادئ ضمن حملة تجسس إلكتروني واسعة النطاق.
تحمل الثغرتان الرقمان التعريفيان:
-
CVE-2025-4427 بدرجة خطورة 5.3 على مقياس CVSS
-
CVE-2025-4428 بدرجة خطورة 7.2
ويمكن دمج هاتين الثغرتين معًا لتنفيذ تعليمات برمجية عشوائية على الجهاز المصاب دون الحاجة لأي مصادقة. وقد أصدرت شركة Ivanti تحديثًا أمنيًا لمعالجة هذه الثغرات في الأسبوع الماضي.
مجموعة UNC5221 تقود الهجوم
ووفقًا لتقرير صادر عن شركة EclecticIQ الهولندية للأمن السيبراني، فإن هذه الثغرات استُغلت من قِبل مجموعة تجسس إلكتروني صينية تُعرف باسم UNC5221، والتي يُعرف عنها استهدافها لأجهزة الشبكات الطرفية منذ عام 2023 على الأقل. وقد نُسب إليها مؤخرًا أيضًا استغلال ثغرات في نظام SAP NetWeaver المعروف بثغرة CVE-2025-31324.
ذكرت EclecticIQ أن أولى الهجمات تم رصدها في 15 مايو 2025، واستهدفت قطاعات مثل:
-
الرعاية الصحية
-
الاتصالات
-
الطيران
-
الحكومات المحلية
-
القطاع المالي
-
الدفاع
استغلال متقدم لبنية Ivanti EPMM
قال الباحث الأمني أردا بويوككايا:
“تُظهر مجموعة UNC5221 فهمًا عميقًا لبنية EPMM الداخلية، حيث تعيد استخدام مكونات نظامية شرعية لتهريب البيانات بسرية تامة. وبما أن EPMM مسؤول عن إدارة الأجهزة المحمولة المؤسسية، فإن أي استغلال ناجح قد يمنح المهاجمين إمكانية التحكم عن بُعد بآلاف الأجهزة المُدارة داخل أي مؤسسة.”
وتتبع سلسلة الهجوم الخطوات التالية:
-
استهداف نقطة النهاية “/mifs/rs/api/v2/” للحصول على جلسة تحكم عكسي (reverse shell).
-
تنفيذ أوامر عن بُعد داخل بيئة Ivanti.
-
نشر أداة تحميل خبيثة تُعرف باسم KrustyLoader المكتوبة بلغة Rust، وتُستخدم لنقل حمولة ثانوية مثل Sliver.
الوصول إلى قواعد البيانات وسرقة بيانات حساسة
كما لاحظت EclecticIQ أن المهاجمين استهدفوا قاعدة بيانات mifs، مستخدمين بيانات اعتماد MySQL مخزنة داخل الملف /mi/files/system/.mifpp، مما مكنهم من الوصول غير المصرح به وسرقة بيانات حساسة مثل:
-
معلومات الأجهزة المحمولة المُدارة
-
حسابات LDAP
-
رموز التحديث والوصول الخاصة بـ Microsoft 365
أدوات متقدمة للحركة الأفقية والاستطلاع
تميزت هذه الحملة باستخدام أوامر شل مشفرة لجمع معلومات عن النظام قبل تنزيل KrustyLoader من حاوية AWS S3، واستخدام أداة Fast Reverse Proxy (FRP) مفتوحة المصدر لتيسير حركة lateral movement داخل الشبكة. وتجدر الإشارة إلى أن أداة FRP تُستخدم على نطاق واسع بين مجموعات التهديد الصينية.
وذكرت EclecticIQ أنها ربطت الهجوم أيضًا ببنية التحكم والسيطرة الخاصة ببرمجية خبيثة تُدعى Auto-Color، وهي باب خلفي لنظام Linux، وثّقته شركة Palo Alto Networks سابقًا في هجمات استهدفت جامعات ومؤسسات حكومية في أمريكا الشمالية وآسيا خلال شهري نوفمبر وديسمبر 2024.
قال بويوككايا:
“عنوان IP 146.70.87[.]67:45020 المرتبط سابقًا ببنية Auto-Color تمت ملاحظته يُجري اختبارات اتصال خارجي عبر curl مباشرة بعد استغلال خوادم Ivanti، مما يدعم فرضية ارتباط الهجوم بنشاط تجسسي صيني.”
مؤشرات مبكرة على استغلال الثغرات
تزامن هذا الكشف مع ملاحظات من شركة GreyNoise المتخصصة في استخبارات التهديدات، حيث رصدت ارتفاعًا حادًا في نشاط المسح الشبكي على منتجات Ivanti Connect Secure وPulse Secure قبيل الإعلان عن الثغرتين.
وذكرت الشركة:
“رغم أن نشاط المسح لم يكن مرتبطًا مباشرة بـ EPMM، إلا أن التوقيت يشير إلى حقيقة مهمة: نشاط المسح غالبًا ما يسبق ظهور الثغرات علنًا، ويُعد مؤشرًا مبكرًا على أن المهاجمين يستعدون لاستغلال ثغرات يوم الصفر.”
