La Agencia de Ciberseguridad Francesa reveló el martes que una serie de entidades que abarcan los sectores gubernamentales, de telecomunicaciones, medios de comunicación, finanzas y de transporte en el país se vieron afectadas por una campaña maliciosa realizada por un comunidad de piratería chino mediante el armamento de varias vulnerabilidades de los días cero en los dispositivos de servicios de servicios en la estrato Ivanti (CSA).
La campaña, detectada a principios de septiembre de 2024, se ha atribuido a un conjunto de intrusiones distintivo en el código Sostenerque se evalúa para compartir algunas superposiciones de nivel con un clúster de amenazas rastreado por Google Mandiant bajo el apodo UNC5174 (incluso conocido como Uteus o Uetus).
«Si aceptablemente sus operadores usan vulnerabilidades de día cero y un rootkit sofisticado, incluso aprovechan una amplia cantidad de herramientas de código destapado en su mayoría creados por desarrolladores de acento china», dijo la Agencia Doméstico Francesa para la Seguridad de los Sistemas de Información (ANSSI). «La infraestructura de ataque de Houken está compuesta por diversos principios, incluidas VPN comerciales y servidores dedicados».
La agencia teorizó que Houken probablemente está siendo utilizado por un corredor de acercamiento original desde 2023 con el objetivo de obtener un punto de apoyo en las redes objetivo y luego compartir con otros actores de amenaza interesados en aceptar a sitio actividades de seguimiento posteriores a la explotación, reverberar un enfoque multiparte de la explotación de vulnerabilidad, como lo señalan Harfanglab.
«Una primera parte identifica vulnerabilidades, un segundo los usa a escalera para crear oportunidades, luego los accesos se distribuyen a terceros que intentan desarrollar objetivos de interés», señaló la compañía francesa de seguridad cibernética a principios de febrero.
«Los operadores detrás de los conjuntos de intrusiones de UNC5174 y Houken probablemente buscan principalmente accesos iniciales valiosos para entregar a un actor vinculado al estado que examen inteligencia perspicaz», agregó la agencia.
En los últimos meses, UNC5174 se ha relacionado con la explotación activa de los fallas de SAP Netweaver para regir Goreverse, una variación de Goreshell. El equipo de piratería incluso ha utilizado las vulnerabilidades en las redes de Palo Parada, la pantalla de pantalla de conexión de Connectwise y el software F5 Big-IP en el pasado para entregar el malware de la luz de cocaína, que luego se usa para soltar una utilidad de túneles de golang citación Goheavy.
Otro noticia de Sentinelone atribuyó al actor de amenaza a una intrusión contra una «ordenamiento de medios europea líder» a fines de septiembre de 2024.
En los ataques documentados por ANSSI, se ha observado que los atacantes explotan tres defectos de seguridad en dispositivos Ivanti CSA, CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190, como días cero para obtener credenciales y establecer persistencia utilizando uno de los tres métodos–
- Implementación directa de shells web PHP
- Modificar los scripts de PHP existentes para inyectar capacidades de shell web, y
- Instalación de un módulo de kernel que sirve como rootkit
Los ataques se caracterizan por el uso de conchas web disponibles públicamente como Behinder y Neo-Regegeorg, seguido por el despliegue de gorebrado para sustentar la persistencia luego de los movimientos laterales. Incluso se emplea una útil de túnel proxy HTTP citación Suo5 y un módulo de kernel de Linux llamado «Sysinitd.ko» que fue documentada por Fortinet en octubre de 2024 y enero de 2025.
«Se compone de un módulo de kernel (Sysinitd.KO) y un archivo ejecutable de espacio de becario (SYSINITD) instalado en el dispositivo dirigido a través de la ejecución de un script de shell: install.sh», dijo ANSSI. «Al secuestrar el tráfico TCP entrante sobre todos los puertos e invocar conchas, Sysinitd.KO y Sysinitd permiten la ejecución remota de cualquier comando con privilegios raíz».
Eso no es todo. Encima de realizar el inspección y tratar en la zona horaria de UTC+8 (que corresponde al tiempo standard de China), se ha observado a los atacantes que intentan parchear las vulnerabilidades, probablemente evitar la explotación de otros actores no relacionados, agregó ANSSI.
Se sospecha que los actores de amenaza tienen un amplio rango de orientación, que comprende sectores gubernamentales y educativos en el sudeste oriental, organizaciones no gubernamentales ubicadas en China, incluidos Hong Kong y Macao, y sectores público, de defensa, educación, medios de comunicación o telecomunicaciones en Poniente.
Encima de eso, las similitudes de artesanía entre Houken y UNC5174 han planteado la posibilidad de que sean operados por un actor de amenaza global. Dicho esto, al menos en un incidente, se dice que los actores de amenaza han armado el acercamiento a desplegar mineros de criptomonedas, subrayando sus motivaciones financieras.
«El actor de amenaza detrás de los conjuntos de intrusos Houken y UNC5174 podría corresponder a una entidad privada, vendiendo accesos y datos valiosos a varios organismos vinculados al estado mientras buscan sus propios intereses que lideran operaciones orientadas lucrativas», dijo Anssi.
