Phần lớn các nỗ lực khai thác một lỗ hổng bảo mật mới được tiết lộ trong Ivanti Endpoint Manager Mobile (EPMM) có thể được truy nguyên về một địa chỉ IP duy nhất trên hạ tầng Bulletproof Hosting do PROSPERO cung cấp.
Công ty tình báo mối đe dọa GreyNoise cho biết họ đã ghi nhận 417 phiên khai thác từ 8 địa chỉ IP nguồn riêng biệt trong khoảng thời gian từ ngày 1 đến ngày 9 tháng 2 năm 2026. Ước tính có khoảng 346 phiên khai thác bắt nguồn từ 193.24.123[.]42, chiếm 83% tổng số nỗ lực.
Hoạt động độc hại này được thiết kế để khai thác CVE-2026-1281 (điểm CVSS: 9.8), một trong hai lỗ hổng bảo mật nghiêm trọng trong EPMM, cùng với CVE-2026-1340 có thể bị tấn công bởi kẻ xấu để đạt được thực thi mã từ xa không cần xác thực (unauthenticated remote code execution). Cuối tháng trước, Ivanti đã thừa nhận họ biết về "một số lượng rất hạn chế khách hàng" bị ảnh hưởng sau khi các vấn đề zero-day bị khai thác.
Kể từ đó, nhiều cơ quan châu Âu, bao gồm Cơ quan Bảo vệ Dữ liệu Hà Lan (AP), Hội đồng Tư pháp, Ủy ban Châu Âu và Valtori của Phần Lan, đã tiết lộ rằng họ đã bị các tác nhân đe dọa không xác định nhắm mục tiêu bằng cách sử dụng các lỗ hổng này.
Phân tích sâu hơn đã tiết lộ rằng cùng một máy chủ đã đồng thời khai thác ba CVE khác trên các phần mềm không liên quan -
- CVE-2026-21962 (Oracle WebLogic) - 2.902 phiên
- CVE-2026-24061 (GNU InetUtils telnetd) - 497 phiên
- CVE-2025-24799 (GLPI) - 200 phiên
"Địa chỉ IP luân phiên qua hơn 300 chuỗi user agent độc đáo bao gồm Chrome, Firefox, Safari và nhiều biến thể hệ điều hành khác nhau," GreyNoise cho biết. "Sự đa dạng về dấu vân tay này, kết hợp với việc khai thác đồng thời bốn sản phẩm phần mềm không liên quan, cho thấy tính nhất quán với các công cụ tự động."
Điều đáng chú ý là PROSPERO được đánh giá là có liên quan đến một hệ thống tự trị khác có tên Proton66, vốn có lịch sử phân phối các loại malware trên máy tính để bàn và Android như GootLoader, Matanbuchus, SpyNote, Coper (hay còn gọi là Octo), và SocGholish.
GreyNoise cũng chỉ ra rằng 85% các phiên khai thác đã báo về thông qua hệ thống tên miền (DNS) để xác nhận "mục tiêu này có thể bị khai thác" mà không cần triển khai bất kỳ malware nào hay đánh cắp dữ liệu.
Tiết lộ này được đưa ra vài ngày sau khi Defused Cyber báo cáo về một chiến dịch "sleeper shell" đã triển khai một Java class loader không hoạt động trong bộ nhớ tới các phiên bản EPMM bị xâm nhập tại đường dẫn "/mifs/403.jsp". Công ty an ninh mạng này cho biết hoạt động này cho thấy kỹ năng của các nhà môi giới truy cập ban đầu (initial access broker tradecraft), nơi các tác nhân đe dọa thiết lập chỗ đứng để bán hoặc chuyển giao quyền truy cập sau này nhằm mục đích tài chính.
"Mô hình đó rất đáng chú ý," công ty này lưu ý. "Các callback OAST [out-of-band application security testing] cho thấy chiến dịch đang lập danh mục các mục tiêu dễ bị tấn công thay vì triển khai payload ngay lập tức. Điều này phù hợp với các hoạt động truy cập ban đầu (initial access operations) nhằm xác minh khả năng khai thác trước, sau đó mới triển khai các công cụ tiếp theo."
Người dùng Ivanti EPMM được khuyến nghị áp dụng các bản vá, kiểm tra hạ tầng Mobile Device Management (MDM) hướng ra internet, xem xét các nhật ký DNS để tìm các callback mẫu OAST, theo dõi đường dẫn /mifs/403.jsp trên các phiên bản EPMM, và chặn hệ thống tự trị (autonomous system) của PROSPERO (AS200593) ở cấp độ vành đai mạng (network perimeter level).
"Việc xâm nhập EPMM cung cấp quyền truy cập vào hạ tầng quản lý thiết bị cho toàn bộ tổ chức, tạo ra một nền tảng di chuyển ngang (lateral movement platform) bỏ qua phân đoạn mạng truyền thống," GreyNoise cho biết. "Các tổ chức có MDM, VPN concentrator hoặc hạ tầng truy cập từ xa khác hướng ra internet nên hoạt động dưới giả định rằng các lỗ hổng nghiêm trọng sẽ bị khai thác trong vòng vài giờ kể từ khi được tiết lộ."
