Investigadores revelan un fallo masivo en la compartición de Indicadores de Compromiso (IOCs). Mientras las empresas bloqueaban nodos VPN inofensivos, un servidor ruso de “Bulletproof Hosting” bombardeaba las defensas de todo el mundo.
En la guerra de la ciberseguridad, la información de inteligencia es vital, pero a veces, todos miran hacia el lado equivocado. Hoy 16 de febrero de 2026, un análisis sorprendente de GreyNoise sobre la campaña masiva de explotación contra las vulnerabilidades recientes de Ivanti Endpoint Manager Mobile (EPMM).
A pesar de que el fallo CVE-2026-1281 (CVSS 9.8) ha causado estragos en Europa (incluyendo la Autoridad de Protección de Datos de Holanda), los defensores estaban usando listas de bloqueo equivocadas.
El Dominio de una Sola IP
Según la telemetría de GreyNoise recopilada entre el 1 y el 9 de febrero, la asombrosa cifra del 83% de todos los intentos de explotación observados provienen de una única dirección IP: 193.24.123.42.
- El Origen: Esta IP está registrada a nombre de PROSPERO OOO (AS200593), un proveedor ruso clasificado por Censys como un servicio de alojamiento bulletproof (a prueba de balas, es decir, servidores que ignoran las quejas de abuso y alojan contenido ilegal o malware).
- El Problema: Increíblemente, esta IP masiva brillaba por su ausencia en los primeros informes de Indicadores de Compromiso (IOCs) compartidos por la industria.
Fallos en la Inteligencia de Amenazas
El reporte destaca un problema grave en cómo la comunidad de ciberseguridad comparte datos.
- El Falso Positivo: Muchos reportes iniciales instaban a las empresas a bloquear nodos de salida de la VPN Windscribe y ciertas IPs residenciales.
- La Realidad: Se comprobó que esos nodos VPN generaban mucho ruido en internet, pero cero tráfico dirigido a la vulnerabilidad de Ivanti. Las organizaciones que solo bloquearon lo que decían los informes de inteligencia temprana dejaron la puerta abierta de par en par al verdadero atacante en Rusia.
Tácticas del Atacante: Sembrando el Caos Automatizado
El actor detrás de la IP 193.24.123.42 no es un francotirador, es una ametralladora.
- Escaneo Multiobjetivo: No solo ataca a Ivanti; la misma IP está lanzando exploits simultáneos contra servidores Oracle WebLogic, el obsoleto GNU Inetutils telnetd y sistemas GLPI.
- Evasión Básica: Rotan cientos de cadenas de User-Agent diferentes para intentar engañar a los firewalls web (WAF) que bloquean firmas conocidas.
- El “Toque y Fuga”: En el 85% de los casos exitosos contra Ivanti, el atacante no instaló ransomware inmediatamente. Utilizaron callbacks de DNS (hacer que el servidor vulnerable envíe un ping a un servidor del atacante) solo para confirmar que la ejecución de código funcionaba.
Cuidado con los “Sleeper Shells”
Como mencionamos en artículos anteriores, esta táctica confirma que estamos ante Brokers de Acceso Inicial (IABs). Están usando la explotación automatizada para plantar webshells durmientes (/mifs/403.jsp) en miles de dispositivos y luego vender el acceso al mejor postor (probablemente grupos como LockBit 5.0).
La lección para los SysAdmins: Nunca confíes ciegamente en una sola lista de IOCs y, más importante aún, parchear hoy no te salva si te hackearon ayer. Debes buscar proactivamente esos archivos .jsp ocultos, incluso si tu consola de Ivanti dice que está “actualizada”.
