Peretas China Eksploitasi Celah Keamanan Ivanti EPMM, Targetkan Eropa hingga Asia Pasifik

AKURAT.CO Sepasang celah keamanan yang baru saja diperbaiki pada perangkat lunak Ivanti Endpoint Manager Mobile (EPMM) telah dieksploitasi oleh aktor ancaman yang berafiliasi dengan China untuk menargetkan berbagai sektor di Eropa, Amerika Utara, dan kawasan Asia-Pasifik.

Kerentanan tersebut, yang dilacak sebagai CVE-2025-4427 (skor CVSS: 5.3) dan CVE-2025-4428 (skor CVSS: 7.2), dapat digabungkan (chained) untuk mengeksekusi kode arbitrer pada perangkat yang rentan tanpa memerlukan autentikasi apa pun. Ivanti telah mengatasi celah ini pada minggu lalu.

Menurut laporan dari EclecticIQ, rangkaian kerentanan ini telah disalahgunakan oleh UNC5221, sebuah kelompok spionase siber asal China yang dikenal menargetkan perangkat jaringan tepi (edge network appliances) setidaknya sejak tahun 2023.

Baru-baru ini, kelompok peretas ini juga dikaitkan dengan upaya eksploitasi terhadap instansi SAP NetWeaver yang rentan terhadap CVE-2025-31324.

Dilansir dari thehackernews, Kamis (22/5/2025) perusahaan keamanan siber asal Belanda tersebut menyatakan bahwa aktivitas eksploitasi paling awal tercatat pada 15 Mei 2025, dengan serangan yang menargetkan sektor kesehatan, telekomunikasi, penerbangan, pemerintah kota, keuangan, dan pertahanan.

"UNC5221 menunjukkan pemahaman mendalam tentang arsitektur internal EPMM, memanfaatkan komponen sistem yang sah untuk melakukan pencurian data secara tersebunyi, ujar peneliti keamanan Arda Büyükkaya.

"Mengingat peran EPMM dalam mengelola dan mendorong konfigurasi ke perangkat mobile perusahaan, eksploitasi yang berhasil dapat memungkinkan aktor ancaman mengakses, memanipulasi, atau mengkompromikan ribuan perangkat yang dikelola di seluruh organisasi."

Urutan serangan melibatkan penargetan endpoint "/mifs/rs/api/v2/" untuk mendapatkan reverse shell interaktif dan mengeksekusi perintah arbitrer dari jarak jauh pada instalasi Ivanti EPMM. Setelah itu, pelaku menyebarkan KrustyLoader, sebuah loader berbasis Rust yang dikenal digunakan oleh UNC5221 untuk mengirimkan payload tambahan seperti Sliver.

Para pelaku juga terpantau menargetkan basis data mifs dengan memanfaatkan kredensial basis data MySQL yang sudah tertanam (hard-coded) dan disimpan di /mi/files/system/.mifpp untuk mendapatkan akses tidak sah ke basis data serta mengekstrak data sensitif yang dapat memberikan mereka visibilitas ke perangkat mobile yang dikelola, pengguna LDAP, serta token refresh dan akses Office 365.

Selain itu, insiden ini juga ditandai dengan penggunaan perintah shell yang disamarkan (obfuscated) untuk pengintaian host sebelum menurunkan KrustyLoader dari bucket AWS S3 dan Fast Reverse Proxy (FRP) guna memfasilitasi pengintaian jaringan dan pergerakan lateral. Perlu dicatat, FRP adalah alat open-source yang banyak digunakan di kalangan kelompok peretas China.