Uma onda significativa de tentativas de exploração contra o Ivanti Endpoint Manager Mobile (EPMM) foi atribuída majoritariamente a um único endereço IP hospedado em infraestrutura de “bulletproof hosting” operada pela PROSPERO. Segundo a GreyNoise, entre 1º e 9 de fevereiro de 2026 foram registradas 417 sessões de exploração a partir de oito IPs distintos sendo que 83% delas (346 sessões) tiveram origem no IP 193.24.123[.]42.

As tentativas visavam a vulnerabilidade crítica CVE-2026-1281 (CVSS 9.8), uma das duas falhas graves que permitem execução remota de código sem autenticação no EPMM, juntamente com a CVE-2026-1340. A própria Ivanti já havia reconhecido a exploração zero-day afetando um número limitado de clientes. Desde então, órgãos europeus como a Autoridade Holandesa de Proteção de Dados, o Conselho para o Judiciário da Holanda, a Comissão Europeia e a agência finlandesa Valtori relataram terem sido alvo das falhas.

A análise mostrou que o mesmo host explorava simultaneamente outras três vulnerabilidades em softwares distintos:

• CVE-2026-21962 (Oracle WebLogic)

• CVE-2026-24061 (GNU InetUtils telnetd)

• CVE-2025-24799 (GLPI)

O IP utilizava mais de 300 user-agents diferentes, simulando navegadores como Chrome, Firefox e Safari em múltiplos sistemas operacionais, o que indica uso de ferramentas automatizadas para varredura e exploração em massa.

A PROSPERO, responsável pela infraestrutura, é associada ao sistema autônomo Proton66, já vinculado à distribuição de malwares como GootLoader, Matanbuchus, SpyNote e SocGholish.

Outro ponto crítico foi a identificação de uma campanha de “sleeper shell”, que implantou um carregador Java em memória em instâncias comprometidas do EPMM no caminho “/mifs/403.jsp”. O padrão sugere atuação típica de “initial access brokers” grupos que comprometem sistemas, validam a explorabilidade via callbacks DNS (OAST) e posteriormente vendem ou repassam o acesso para outros atores maliciosos.

Segundo a GreyNoise, cerca de 85% das sessões realizaram apenas chamadas DNS para confirmar se o alvo era vulnerável, sem implantar imediatamente malware. Esse comportamento indica fase de catalogação de alvos antes de uma exploração mais agressiva.

A Ivanti reforçou que clientes devem aplicar imediatamente os patches, revisar logs DNS em busca de callbacks suspeitos, monitorar acessos ao caminho “/mifs/403.jsp” e bloquear o AS200593 (PROSPERO) no perímetro de rede.

Especialistas alertam que comprometer o EPMM pode dar acesso à infraestrutura de gerenciamento de dispositivos móveis (MDM) de toda a organização, criando um ponto estratégico para movimentação lateral e bypass de segmentações tradicionais de rede.

O cenário reforça uma tendência clara: vulnerabilidades críticas expostas à internet passam a ser exploradas poucas horas após a divulgação pública.