Национальное агентство безопасности информационных систем Франции (ANSSI) опубликовало шокирующие данные о масштабной кибератаке, получившей кодовое обозначение Houken. Согласно отчету от 1 июля 2025 года, с сентября по ноябрь 2024 года группировка, связанная с китайскими государственными интересами, эксплуатировала три ранее неизвестные уязвимости в устройствах Ivanti Cloud Service Appliance (CSA). Целями стали французские организации в государственном, телекоммуникационном, медийном, финансовом и транспортном секторах. Атака демонстрирует тревожную эволюцию тактик киберпреступников, сочетающих сложные методы вроде руткитов с публично доступными инструментами для создания гибридной угрозы национального масштаба.
Описание
Эксперты ANSSI установили, что злоумышленники использовали цепочку из трех уязвимостей нулевого дня: CVE-2024-8190, CVE-2024-8963 и CVE-2024-9380. Эти бреши позволили выполнять произвольный код на периферийных устройствах Ivanti CSA до выпуска официальных заплат. После первоначального доступа операторы развертывали веб-шеллы PHP, модифицировали легитимные скрипты и в критических случаях устанавливали скрытный руткит, перехватывающий весь входящий трафик. Особую озабоченность вызывает самоналожение "заплат" злоумышленниками на уязвимые ресурсы, что препятствовало эксплуатации другими группами, но сохраняло их контроль. Интересно, что временная зона операций (UTC+8) соответствует пекинскому времени, а в инфраструктуре фигурировали китайские провайдеры China Unicom и China Telecom.
Инфраструктура Houken оказалась крайне разнородной. Анонимизация достигалась через коммерческие VPN-сервисы NordVPN, ExpressVPN и Proton VPN, причем один IP-адрес NordVPN использовался для атаки на две разные жертвы 14 сентября. Виртуальные серверы HostHatch и ColoCrossing применялись как командные центры для инструментов вроде GOREVERSE - обратной оболочки на GoLang. Удивление вызвали подключения с жилых IP-адресов в США, Бангладеш и России, что может указывать на использование ресентиальных прокси. Повторное использование инфраструктуры, например IP 23.236.66.97 для трех жертв, облегчило анализ, но показало слабую сегментацию ресурсов злоумышленников.
Арсенал инструментов сочетал изощренность с доступностью. Помимо самописных PHP-шеллов, вроде /gsb/help.php, применялись открытые разработки китайских авторов: фреймворк Behinder ("Ледяной скорпион"), туннелирующий инструмент Neo-reGeorg, сканер сети fscan. В одном инциденте на сервер Exchange загружен файл OutlookEN.aspx - вариация прокси suo5, ранее связанная с группировкой Hafnium. На устройстве оборонного сектора обнаружен руткит из модуля ядра sysinitd.ko и исполняемого файла sysinitd, маскирующий процессы и обеспечивающий root-доступ через перехват TCP-трафика. Это указывает на значимость цели, хотя подобные инструменты работают только на периферийных устройствах.
Профилирование Houken выявило его связь с интрузивным набором UNC5174, описанным Mandiant как брокер доступа для китайских государственных структур. Общие черты включают создание учетной записи Root6 на взломанных F5 BIG-IP, использование GOREVERSE и VShell, а также паттерн "самозаплаты" уязвимостей. ANSSI считает, что Houken действует как коммерческий посредник, продающий начальный доступ к ценным сетям разведслужбам, но параллельно преследующий прибыль. В подтверждение этого в одном случае развернут криптомайнер Monero, скачанный через шелл Ivanti, а в марте 2025 года зафиксирована кража писем МИД южноамериканской страны с использованием китайского скрипта. География целей обширна: Юго-Восточная Азия, НПО в Гонконге и Макао, западные правительственные структуры.
Угроза остается активной: в апреле-мае 2025 Sysdig и EclecticIQ сообщали о новых атаках через VShell, хотя ANSSI пока не подтверждает их связь с Houken. Агентство подчеркивает, что группировка сохранит фокус на уязвимостях периферийных устройств, рекомендует срочно патчить Ivanti CSA и внедрять мониторинг аномальных подключений, особенно к VPN-сервисам и OAST-доменам вроде oastify.com. Эта операция - наглядный пример гибридной киберугрозы, где государственные интересы переплетаются с криминальной мотивацией, создавая беспрецедентные риски для критической инфраструктуры.
Часть индикаторов компрометации, обнаруженных ANSSI, ранее фиксировались в отчетах по угрозам:
Индикаторы компрометации
IPv4
- 107.173.111.26
- 134.195.90.71
- 156.234.193.18
- 195.133.52.87
- 198.98.54.209
- 23.236.66.97
- 45.33.101.53
- 64.176.49.160
Domains
- oyr2ohrm.eyes.sh