亚马逊威胁情报团队发现了一个高度复杂的威胁活动，该活动利用了Cisco身份服务引擎（ISE）和Citrix系统中的多个零日漏洞，这表明攻击者对企业身份验证和授权基础设施的关注度显著升级。

该活动包括使用定制的隐蔽恶意软件、利用未修补的代码路径，以及在公共互联网上进行广泛目标扫描。

威胁的第一个迹象出现在亚马逊MadPot蜜罐网络检测到针对面向互联网的Citrix基础设施的攻击尝试时。

“我们的亚马逊MadPot蜜罐服务在公开披露之前就检测到了针对Citrix Bleed Two漏洞（CVE-2025-5777）的攻击尝试。“早期检测显示，攻击者在分配CVE编号之前就已经拥有针对Citrix Bleed 2漏洞的有效利用代码——确认了野外零日利用。

在对攻击者流量进行深入分析时，亚马逊发现了针对Cisco ISE的第二个零日漏洞。

“亚马逊威胁情报识别并与Cisco共享了一个异常负载，该负载针对Cisco ISE中先前未记录的端点，使用了易受攻击的反序列化逻辑。“Cisco后来将此漏洞指定为CVE-2025-20337，确认攻击者能够在Cisco ISE系统上实现认证前远程代码执行（RCE）。

更令人担忧的是：“在Cisco分配CVE编号或为所有受影响分支发布完整补丁之前，野外利用就已经发生。”

获得访问权限后，攻击者部署了一个高度复杂的内存Webshell，伪装成名为IdentityAuditAction的合法Cisco ISE组件。这不是商品化恶意软件。

亚马逊指出：“这不是典型的现成恶意软件，而是专门为Cisco ISE环境定制的后门。”

主要功能包括：

• 完全在内存中运行以避免留下痕迹
• 使用Java反射劫持实时Tomcat线程
• 注册为HTTP监听器以检查所有流量
• 使用DES和非标准Base64编码加密负载
• 需要特殊的HTTP头部才能激活

攻击者反序列化例程的片段揭示了嵌入Webshell中的复杂访问控制。这种工艺水平很少在国家支持或资源丰富的威胁组织之外看到。

亚马逊的分析得出结论，该威胁行为者同时拥有并武器化了多个零日漏洞。“获得多个未公开零日漏洞利用代码的访问权限表明，这是一个资源丰富的威胁行为者，具有先进的漏洞研究能力或可能获得非公开漏洞信息。”

该行为者还在互联网上对易受攻击的Citrix和Cisco系统发起无差别的大规模扫描。