A agência francesa de cibersegurança ANSSI revelou que setores como governo, telecomunicações, mídia, finanças e transporte foram alvos de ataques conduzidos por hackers chineses. Eles exploraram falhas inéditas no Ivanti Cloud Services Appliance CSA para invadir redes e manter acesso privilegiado. Detectada em setembro de 2024 a campanha foi atribuída ao grupo Houken ligado ao cluster UNC5174 também conhecido como Uteus.
Segundo a ANSSI os hackers usaram vulnerabilidades zero day um rootkit sofisticado e ferramentas open source criadas por desenvolvedores chineses. A infraestrutura incluía VPNs comerciais e servidores dedicados. Especialistas acreditam que o Houken atua como corretor de acesso inicial vendendo credenciais a grupos estatais ou criminosos que exploram os alvos posteriormente. Essa estratégia envolve agentes diferentes para descobrir falhas realizar ataques em escala e negociar os acessos.
Foram exploradas três falhas críticas no Ivanti CSA CVE20248963 CVE20249380 e CVE20248190. Os invasores roubaram credenciais e implantaram persistência com web shells PHP modificações em scripts legítimos e o módulo de kernel sysinitdko que permite execução remota de comandos com privilégios de administrador. Os hackers também aplicaram correções nas falhas para impedir exploração por outros grupos. As operações ocorrem no fuso horário da China reforçando sua origem. A ANSSI destaca que o grupo pode ser uma entidade privada vendendo acessos enquanto realiza ataques para lucro como mineração de criptomoedas.
