هکرهای چینی از آسیب‌پذیری اجرای کد از راه دور در Ivanti Endpoint Manager Mobile (EPMM) با شناسه CVE-2025-4428 برای نفوذ به سازمان‌های مهم در سراسر جهان سوءاستفاده کرده‌اند. این آسیب‌پذیری که امتیاز شدت بالایی دریافت کرده، امکان اجرای کد از راه دور در نسخه 12.5.0.0 و قدیمی‌تر از طریق درخواست‌های API مخصوص را فراهم می‌کند. شرکت Ivanti این نقص را همراه با یک آسیب‌پذیری دور زدن احراز هویت در 13 مه 2025 پچ کرد.

محققان EclecticIQ گزارش دادند که گروه تهدید UNC5221 از 15 مه به طور گسترده از این آسیب‌پذیری سوءاستفاده کرده و سازمان‌های مختلفی از جمله نهادهای بهداشت ملی انگلیس، سازندگان تجهیزات پزشکی آمریکا، آژانس‌های شهری اسکاندیناوی، موسسات تحقیقاتی آلمان، شرکت‌های مخابراتی، بانک‌های کره جنوبی و سایر اهداف استراتژیک را مورد حمله قرار داده‌اند. این گروه که متخصص محصولات Ivanti محسوب می‌شود، پس از نفوذ اقدام به جاسوسی، نظارت بر اهداف با ارزش، استخراج داده‌ها و نصب بدافزار KrystyLoader کرده است.