Investigadores descubren una oleada de ataques contra CVE-2026-1281 que no busca hacer daño inmediato, sino plantar semillas invisibles en la memoria del servidor para su uso futuro.
El pánico a Ivanti no termina. Hoy 9 de febrero de 2026, que los ciberdelincuentes han comenzado a explotar masivamente las vulnerabilidades recientes (CVE-2026-1281 y CVE-2026-1340) en los dispositivos Ivanti Endpoint Manager Mobile (EPMM). Pero a diferencia de ataques anteriores, esta campaña es extrañamente silenciosa.
En lugar de lanzar ransomware o robar datos al instante, los atacantes están utilizando una técnica de “Land and Confirm” (Aterrizar y Confirmar). Instalan un cargador de clases Java furtivo y se retiran, dejando el servidor comprometido pero operativamente normal, listo para ser activado semanas después.
El Artefacto: /mifs/403.jsp
La pieza central del ataque es un archivo aparentemente inocuo colocado en la ruta /mifs/403.jsp.
- No es una Webshell Típica: No permite navegar por archivos ni ejecutar comandos del sistema directamente, lo que engaña a muchos escáneres de seguridad.
- Cargador en Memoria: Es un Class Loader de Java codificado en Base64. Su única función es esperar una petición HTTP específica con el parámetro k0f53cf964d387.
- Sin Huellas en Disco: Cuando el atacante decide “despertar” el backdoor, envía el código malicioso real a través de ese parámetro. El cargador lo descifra y lo ejecuta directamente en la memoria RAM, sin escribir jamás un archivo ejecutable en el disco duro.
¿Por qué hacer esto?
Este comportamiento es típico de los Initial Access Brokers (IAB).
- Comprometen miles de dispositivos rápidamente.
- Verifican que el backdoor funciona (el cargador devuelve una firma específica 3cd3d…e60537).
- Venden el acceso a grupos de ransomware o espionaje, quienes usarán la puerta trasera días o semanas después.
Escala del Ataque
La Shadowserver Foundation ya ha detectado 56 direcciones IP comprometidas con estos webshells solo en las últimas 24 horas. Los atacantes están utilizando infraestructura de proveedores como Datacamp Limited y LeaseWeb para lanzar los escaneos.
Guía de Caza de Amenazas
Si administras Ivanti EPMM, no asumas que estás limpio solo porque “todo funciona bien”.
- Reinicia el Servidor: Dado que el malware reside en la memoria, un reinicio completo del appliance eliminará la carga activa (aunque no la vulnerabilidad ni el archivo JSP, pero interrumpirá la conexión).
- Busca el Archivo: Verifica la existencia de /mifs/403.jsp en tu sistema de archivos.
- Analiza Logs: Busca en los registros de acceso web peticiones GET que contengan el parámetro k0f53cf964d387.
- Parchea: Aplica las mitigaciones de Ivanti para CVE-2026-1281 inmediatamente.
