Un sofisticado ciberataque dirigido a usuarios de Ivanti Endpoint Manager Mobile (EPMM) ha sido detectado a partir del 4 de febrero de 2026. La vulnerabilidad, relacionada con CVE-2026-1281 y CVE-2026-1340, permite el acceso no autenticado a los endpoints de la aplicación. A diferencia de explotaciones previas, esta campaña no ha desplegado webshells tradicionales ni ejecutado comandos inmediatos. En su lugar, los atacantes han subido un payload a la ruta /mifs/403.jsp, un lugar común para webshells, y lo han dejado inactivo. Este payload es una clase Java que actúa como un cargador en memoria, esperando un parámetro específico para ser activado. Los investigadores sugieren que se trata de la actividad de un 'Initial Access Broker' (IAB), que proporciona acceso a terceros para su posterior explotación. El cargador recopila información del sistema antes de la posible activación, lo que indica una preparación para la explotación posterior. Se recomienda a los usuarios de Ivanti EPMM parchear i
Noticias agregadas con IA