O grupo de ciberespionagem Fire Ant tem como alvo ambientes de virtualização VMware ESXi e vCenter em uma campanha sofisticada que visa dispositivos de rede e sistemas críticos de infraestrutura. Segundo os pesquisadores, o grupo utiliza táticas furtivas e em múltiplas camadas para invadir redes segmentadas e ambientes isolados, mantendo acesso prolongado mesmo após tentativas de erradicação.
Há indícios de que o Fire Ant compartilha ferramentas e alvos com o grupo chinês UNC3886, conhecido por explorar tecnologias de virtualização desde 2022. Os ataques envolvem o comprometimento de servidores vCenter, a extração de credenciais do serviço “vpxuser” e a instalação de backdoors persistentes com malware da família VIRTUALPITA, além de um implante Python que permite execução remota e transferência de arquivos.
Os invasores exploraram falhas conhecidas como CVE-2023-34048 no vCenter Server e CVE-2023-20867 no VMware Tools para acessar hipervisores e interagir com máquinas virtuais convidadas, inclusive contornando ferramentas de segurança e acessando credenciais de controladores de domínio. O Fire Ant também emprega táticas como o uso de V2Ray para tunelamento de rede, criação de VMs não registradas, alteração de logs para evitar detecção e renomeação de arquivos maliciosos para se disfarçar como ferramentas forenses. Seu profundo conhecimento da infraestrutura das vítimas permite quebrar segmentações de rede e manter-se oculto.
