Pesquisadores de segurança identificaram uma campanha avançada de ciberataques na qual vulnerabilidades críticas na plataforma de virtualização VMware ESXi foram exploradas para permitir que invasores escapassem de máquinas virtuais e comprometessem o servidor físico subjacente. As falhas, exploradas antes mesmo de sua divulgação pública, permitiram que os atacantes violassem o isolamento entre máquinas virtuais e o hipervisor.
O grupo responsável pela campanha tem ligações com atores estatais da China e teria iniciado os ataques após comprometer um dispositivo VPN SonicWall vulnerável. A partir daí, os invasores conseguiram mover-se lateralmente até alcançar os servidores ESXi, onde lançaram um conjunto de exploits direcionados. As falhas envolvidas identificadas como CVE-2025-22224, CVE-2025-22225 e CVE-2025-22226, foram oficialmente divulgadas apenas em março de 2025, mas evidências apontam que os atacantes já as exploravam desde o final de 2024.
Elas permitem vazamento de memória, corrupção de dados e execução remota de código fora do ambiente da máquina virtual. Combinadas, essas falhas tornam possível romper o isolamento das VMs, permitindo que o invasor obtenha controle direto sobre o sistema host — um cenário altamente perigoso em ambientes virtualizados, onde múltiplos serviços e sistemas compartilham o mesmo hardware.
A campanha usou ainda um canal de comunicação oculto por meio do protocolo VSOCK, permitindo troca de dados entre a VM infectada e o hipervisor sem gerar tráfego de rede detectável por sistemas convencionais de monitoramento. Esse tipo de ataque, conhecido como “escape de máquina virtual”, é raro e tecnicamente sofisticado. Ele representa uma ameaça crítica à infraestrutura virtualizada, especialmente em datacenters, ambientes de nuvem privada e redes corporativas de grande escala. Especialistas alertam que as falhas já foram corrigidas pela VMware, mas muitos servidores continuam desatualizados e expostos.
