Las autoridades europeas están investigando múltiples ataques cibernéticos relacionados con fallas críticas en Ivanti Endpoint Manager Mobile a medida que los grupos de amenazas intensifican la actividad de explotación.
Ivanti avisos publicados el 29 de enero para vulnerabilidades de inyección de código en la versión local de EPMM, rastreadas como CVE-2026-1281 y CVE-2026-1340. La explotación exitosa permite a un atacante lograr la ejecución remota de código.
La Comisión Europea dijo que estaba investigando un ataque a su infraestructura móvil central. El ataque del 30 de enero pudo haber permitido a los piratas informáticos obtener acceso a los nombres y números de teléfono móvil de algunos miembros del personal. según una publicación de blog lanzado el jueves.
Las autoridades dijeron que el incidente fue contenido en nueve horas y que ningún dispositivo móvil se vio comprometido.
Mientras tanto, las autoridades holandesas confirmaron que la Autoridad Holandesa de Protección de Datos y el Consejo Judicial se vieron afectados por ataques que explotaban las vulnerabilidades en Ivanti EPMM, según un carta enviada al parlamento.
Los investigadores de seguridad dijeron actividad de amenaza dirigida a las vulnerabilidades se está acelerando, pero de manera selectiva.
«Hemos detectado más de 600 IP individuales explotando la vulnerabilidad, con muchas variaciones, desde tomar huellas digitales del sistema hasta establecer shells inversos y webshells; se han visto prácticamente todos los métodos posteriores a la explotación», dijo a Cybersecurity Dive Simo Kohonen, fundador y director ejecutivo de Defused.
Una investigación de la firma de inteligencia sobre amenazas Defused muestra que los piratas informáticos son soltar cargadores de clase Java en sistemas comprometidos, lo que indica el trabajo de un intermediario de acceso inicial.
El servidor sombra tiene detectó 92 instancias comprometidas y espera que ese número aumente debido a lo que llama una campaña masiva dirigida a CVE-2026-1281, dijo el director ejecutivo Piotr Kijewski a Cybersecurity Dive.
Los datos de Censys muestran más de 3.700 interfaces de inicio de sesión expuestas en la Internet pública, sin embargo, no todas se consideran vulnerables. La mayoría se encuentran en Alemania y Estados Unidos.
Los investigadores de Rapid7 dijeron que ha habido una aceleración de la actividad de amenazas, sin embargo, ha habido una lenta disminución en los últimos días, desde un pico de 525 intentos de explotación el 5 de febrero a unos 200 intentos observados en las últimas 24 horas.
“No existe una atribución directa asociada con las IP de origen, aunque la actividad es consistente con una infraestructura maliciosa conocida que escanea Internet de manera rutinaria en busca de hosts vulnerables y lleva a cabo intentos de fuerza bruta a gran escala”, dijo a Cybersecurity Dive Christiaan Beek, director senior de inteligencia de amenazas de Rapid7.
Beek también confirmó su potencial actividad del intermediario de acceso inicialya que las vulnerabilidades de n días se han utilizado para afianzarse, posiblemente como precursoras para venderlas a grupos de ransomware.
Ivanti está «colaborando estrechamente con nuestros clientes, así como con socios gubernamentales y de seguridad de confianza» para abordar la amenaza, dijo un portavoz a Cybersecurity Dive.
Ivanti ha publicado indicadores de compromiso y un script de detección de RPM a través de su trabajo con el NCSC de los Países Bajos. La compañía dijo que está «comprometida con la transparencia» y ayudando a proteger a sus propios clientes y al ecosistema en general.
Fuente