Het Franse ANSSI meldde dat aanvallers tussen september en november 2024 kwetsbaarheden in Ivanti Cloud Service Appliance (CSA) (CVE-2024-8190, CVE-2024-8963 en CVE-2024-9380) exploitten om remote code execution uit te voeren. Destijds waren er nog geen patches beschikbaar. De CSA wordt gebruikt voor software-uitrol en beheer op afstand, waardoor een gecompromitteerd systeem verstrekkende gevolgen kan hebben. Aanvallers gebruikten onder meer VPN-diensten en het Tor-netwerk om hun identiteit te verbergen. Ze installeerden webshells en bij een defensiebedrijf zelfs een onbekende rootkit.

In minimaal drie gevallen bewoog de kwaadwillende partij zich lateral binnen netwerken, verzamelde inloggegevens en bleef langdurig geïnfiltreerd. ANSSI wijst de aanvallers aan als een initial access broker, die toegang verkoopt aan andere aanvallers, maar ook zelf data steelt en cryptominers installeert.