Ivanti Endpoint Manager Mobile (EPMM) ürünündeki güvenlik açıkları, yayımlandığından beri siber saldırganlar tarafından yoğun bir şekilde istismar ediliyor. Ancak son dönemde ortaya çıkan yeni bir saldırı dalgası, klasik yöntemlerden farklı bir yaklaşım sergiliyor. 4 Şubat 2026'da başlayan bu koordineli kampanya, geleneksel webshell'ler bırakmak veya hemen keşif komutları çalıştırmak yerine, daha incelikli bir strateji benimsiyor. Saldırganlar, sisteme bir yük (payload) yüklüyor, başarılı olduğunu doğruluyor ve ardından herhangi bir komut çalıştırmadan geri çekiliyor. Bu durum, arka kapının "uyuyan" bir halde bırakıldığını gösteriyor.
Bu yeni kampanya, /mifs/403.jsp yoluna, geleneksel bir webshell yerine, bellekte çalışan ve Base64 ile kodlanmış bir Java sınıf yükleyici (class loader) yerleştiriyor. base.Info adındaki bu sınıf, doğrudan komut çalıştırma veya dosya erişimi sağlamıyor. Amacı, daha sonra HTTP üzerinden gönderilecek ikinci bir Java sınıfını almak, yüklemek ve çalıştırmak. Bu "sahne yükleyici" (stage loader) olarak adlandırılan mekanizma, yalnızca belirli bir tetikleyici parametre ile etkinleştirilebiliyor ve şu ana kadar herhangi bir takip eden istismar gözlemlenmedi. Bu durum, saldırganların ilk erişimi sağlama (initial access broker - IAB) taktiği kullandığını ve elde ettikleri erişimi daha sonra satmayı veya devretmeyi planladıklarını düşündürüyor.
Ivanti, EPMM'deki CVE-2026-1281 ve CVE-2026-1340 kritik güvenlik açıklarını duyurmuştu. Bu açıklar, kimlik doğrulama baypasını ve uzaktan kod yürütmeyi mümkün kılıyor. Erken dönemdeki saldırılar genellikle fırsatçı taramalar ve toplu istismarlar şeklinde olsa da, bu "Uyuyan Kabuklar" (Sleeper Shells) kampanyası, daha stratejik ve uzun vadeli bir tehdit oluşturuyor. Kurumların bu tür gelişmiş ve gizli saldırı yöntemlerine karşı dikkatli olması ve yamaları hızla uygulaması büyük önem taşıyor.
Bu yeni saldırı yöntemi, siber saldırganların sistemlere gizlice sızarak uzun vadeli erişim sağlamayı hedefleyen daha sofistike taktikler geliştirdiğini ortaya koyuyor.