دو آسیب‌پذیری امنیتی اخیراً رفع شده در نرم‌افزار Ivanti Endpoint Manager Mobile (EPMM) توسط گروه تهدید چینی UNC5221 مورد سوءاستفاده قرار گرفته است. این آسیب‌پذیری‌ها با شناسه‌های CVE-2025-4427 و CVE-2025-4428 می‌توانند برای اجرای کد دلخواه بدون نیاز به احراز هویت به صورت زنجیره‌ای استفاده شوند و بخش‌های مختلفی از جمله بهداشت و درمان، مخابرات، هوانوردی، دولت شهری، مالی و دفاعی در اروپا، آمریکای شمالی و آسیا-اقیانوسیه را هدف قرار داده‌اند.

مهاجمان از طریق هدف قرار دادن endpoint مشخص، دسترسی shell معکوس تعاملی به دست آورده و سپس KrustyLoader مبتنی بر Rust را مستقر می‌کنند. آن‌ها همچنین با استفاده از اعتبارات پایگاه داده MySQL کدگذاری شده، به پایگاه داده mifs دسترسی غیرمجاز پیدا کرده و داده‌های حساس شامل اطلاعات دستگاه‌های موبایل مدیریت شده، کاربران LDAP و توکن‌های Office 365 را استخراج می‌کنند. این حملات با استفاده از ابزارهای مختلف از جمله Fast Reverse Proxy و backdoor Auto-Color انجام شده و نشان‌دهنده فعالیت‌های پیچیده جاسوسی سایبری چین است.