Китайские хакеры используют нулевые уязвимости Ivanti для атак на французские организации: ANSSI раскрывает операцию Houken

Эксперты ANSSI установили, что злоумышленники использовали цепочку из трех уязвимостей нулевого дня: CVE-2024-8190, CVE-2024-8963 и CVE-2024-9380. Эти бреши позволили выполнять произвольный код на периферийных устройствах Ivanti CSA до выпуска официальных заплат. После первоначального доступа операторы развертывали веб-шеллы PHP, модифицировали легитимные скрипты и в критических случаях устанавливали скрытный руткит, перехватывающий весь входящий трафик. Особую озабоченность вызывает самоналожение "заплат" злоумышленниками на уязвимые ресурсы, что препятствовало эксплуатации другими группами, но сохраняло их контроль. Интересно, что временная зона операций (UTC+8) соответствует пекинскому времени, а в инфраструктуре фигурировали китайские провайдеры China Unicom и China Telecom.

Инфраструктура Houken оказалась крайне разнородной. Анонимизация достигалась через коммерческие VPN-сервисы NordVPN, ExpressVPN и Proton VPN, причем один IP-адрес NordVPN использовался для атаки на две разные жертвы 14 сентября. Виртуальные серверы HostHatch и ColoCrossing применялись как командные центры для инструментов вроде GOREVERSE - обратной оболочки на GoLang. Удивление вызвали подключения с жилых IP-адресов в США, Бангладеш и России, что может указывать на использование ресентиальных прокси. Повторное использование инфраструктуры, например IP 23.236.66.97 для трех жертв, облегчило анализ, но показало слабую сегментацию ресурсов злоумышленников.

Арсенал инструментов сочетал изощренность с доступностью. Помимо самописных PHP-шеллов, вроде /gsb/help.php, применялись открытые разработки китайских авторов: фреймворк Behinder ("Ледяной скорпион"), туннелирующий инструмент Neo-reGeorg, сканер сети fscan. В одном инциденте на сервер Exchange загружен файл OutlookEN.aspx - вариация прокси suo5, ранее связанная с группировкой Hafnium. На устройстве оборонного сектора обнаружен руткит из модуля ядра sysinitd.ko и исполняемого файла sysinitd, маскирующий процессы и обеспечивающий root-доступ через перехват TCP-трафика. Это указывает на значимость цели, хотя подобные инструменты работают только на периферийных устройствах.

Профилирование Houken выявило его связь с интрузивным набором UNC5174, описанным Mandiant как брокер доступа для китайских государственных структур. Общие черты включают создание учетной записи Root6 на взломанных F5 BIG-IP, использование GOREVERSE и VShell, а также паттерн "самозаплаты" уязвимостей. ANSSI считает, что Houken действует как коммерческий посредник, продающий начальный доступ к ценным сетям разведслужбам, но параллельно преследующий прибыль. В подтверждение этого в одном случае развернут криптомайнер Monero, скачанный через шелл Ivanti, а в марте 2025 года зафиксирована кража писем МИД южноамериканской страны с использованием китайского скрипта. География целей обширна: Юго-Восточная Азия, НПО в Гонконге и Макао, западные правительственные структуры.

Угроза остается активной: в апреле-мае 2025 Sysdig и EclecticIQ сообщали о новых атаках через VShell, хотя ANSSI пока не подтверждает их связь с Houken. Агентство подчеркивает, что группировка сохранит фокус на уязвимостях периферийных устройств, рекомендует срочно патчить Ivanti CSA и внедрять мониторинг аномальных подключений, особенно к VPN-сервисам и OAST-доменам вроде oastify.com. Эта операция - наглядный пример гибридной киберугрозы, где государственные интересы переплетаются с криминальной мотивацией, создавая беспрецедентные риски для критической инфраструктуры.

Часть индикаторов компрометации, обнаруженных ANSSI, ранее фиксировались в отчетах по угрозам:

• Угроза для облачных сервисов: хакеры активно эксплуатируют уязвимости в Ivanti CSA (CISA)
• Китайские хакерские группировки атакуют глобальные цели: от правительств до кибербезопасности (SentinelLABS)

IPv4

• 107.173.111.26
• 134.195.90.71
• 156.234.193.18
• 195.133.52.87
• 198.98.54.209
• 23.236.66.97
• 45.33.101.53
• 64.176.49.160

Domains

• oyr2ohrm.eyes.sh

• CERTFR-2025-CTI-009.pdf