بخش قابل توجهی از تلاشهای اکسپلویت که یک نقص امنیتی تازه افشا شده در Ivanti Endpoint Manager Mobile (EPMM) را هدف قرار میدهند، میتوانند به یک آدرس IP در زیرساخت میزبانی Bulletproof ارائه شده توسط PROSPERO ردیابی شوند.
شرکت اطلاعات تهدید GreyNoise اعلام کرد که ۴۱۷ سشن اکسپلویت را از ۸ آدرس IP منبع منحصر به فرد در فوریه ۲۰۲۶ ثبت کرده است. بر اساس تخمینها، ۳۴۶ سشن اکسپلویت از 193.24.123[.]42 سرچشمه گرفتهاند که ۸۳٪ از کل تلاشها را تشکیل میدهد. این فعالیت مخرب برای اکسپلویت از CVE-2026-1281 (امتیاز CVSS: 9.8)، یکی از دو آسیبپذیری امنیتی حیاتی در EPMM، به همراه CVE-2026-1340 که میتواند توسط مهاجم برای اجرای کد از راه دور غیرمجاز مورد سوءاستفاده قرار گیرد، طراحی شده است. تجزیه و تحلیل بیشتر نشان داده است که همان میزبان به طور همزمان از سه CVE دیگر در نرمافزارهای غیرمرتبط سوءاستفاده کرده است:
- CVE-2026-21962 (Oracle WebLogic)
- CVE-2026-24061 (GNU InetUtils telnetd)
- CVE-2025-24799 (GLPI)
GreyNoise اعلام کرد: “IP در بیش از 300 رشته عامل کاربر منحصر به فرد که شامل Chrome، Firefox، Safari و انواع مختلف سیستم عامل است، میچرخد. این تنوع اثر انگشت، همراه با سوءاستفاده همزمان از چهار محصول نرمافزاری غیرمرتبط، با ابزارهای خودکار سازگار است. تیم تحقیقاتی GreyNoise گفت: شناسههای CVE-2026-1281 و CVE-2026-1340 توسط Ivanti به عنوان آسیبپذیریهای تزریق کد مرتبط در اجزای مختلف EPMM افشا شدهاند و هر دو CVE را تحت یک برچسب حذف واحد (CVE-2026-1281) ردیابی میکند.
شایان ذکر است که PROSPERO به سیستم مستقل دیگری به نام Proton66 مرتبط ارزیابی میشود که سابقه توزیع بدافزارهای دسکتاپ و اندروید مانند GootLoader، Matanbuchus، SpyNote، Coper (معروف به Octo) و SocGholish را دارد. GreyNoise همچنین اشاره کرد که ۸۵٪ از سشنهای اکسپلویت از طریق سیستم نام دامنه (DNS) به خانه هدایت شدهاند تا تأیید کنند که «این هدف قابل بهرهبرداری است» بدون اینکه هیچ بدافزاری را مستقر کنند یا دادهها را استخراج کنند. این افشاگری چند روز پس از آن صورت گرفت که Defused Cyber از یک کمپین «sleeper shell» خبر داد که یک لودر کلاس جاوا در حافظه غیرفعال را برای نمونههای EPMM آسیبپذیر مستقر کرده است.
https://thehackernews.com/2026/02/83-of-ivanti-epmm-exploits-linked-to.html
