La Agencia de Ciberseguridad Francesa reveló el martes que una serie de entidades que abarcan los sectores gubernamentales, de telecomunicaciones, medios de comunicación, finanzas y de transporte en el país se vieron afectadas por una campaña maliciosa realizada por un congregación de piratería chino mediante el armamento de varias vulnerabilidades de los días cero en los dispositivos de servicios de servicios en la nubarrón Ivanti (CSA).
La campaña, detectada a principios de septiembre de 2024, se ha atribuido a un conjunto de intrusiones distintivo en el código Sostenerque se evalúa para compartir algunas superposiciones de nivel con un clúster de amenazas rastreado por Google Mandiant bajo el apodo UNC5174 (además conocido como Uteus o Uetus).
“Si adecuadamente sus operadores usan vulnerabilidades de día cero y un rootkit sofisticado, además aprovechan una amplia cantidad de herramientas de código hendido en su mayoría creados por desarrolladores de deje china”, dijo la Agencia Franquista Francesa para la Seguridad de los Sistemas de Información (ANSSI). “La infraestructura de ataque de Houken está compuesta por diversos instrumentos, incluidas VPN comerciales y servidores dedicados”.
La agencia teorizó que Houken probablemente está siendo utilizado por un corredor de llegada auténtico desde 2023 con el objetivo de obtener un punto de apoyo en las redes objetivo y luego compartir con otros actores de amenaza interesados en aceptar a final actividades de seguimiento posteriores a la explotación, reverberar un enfoque multiparte de la explotación de vulnerabilidad, como lo señalan Harfanglab.
“Una primera parte identifica vulnerabilidades, un segundo los usa a escalera para crear oportunidades, luego los accesos se distribuyen a terceros que intentan desarrollar objetivos de interés”, señaló la compañía francesa de seguridad cibernética a principios de febrero.
“Los operadores detrás de los conjuntos de intrusiones de UNC5174 y Houken probablemente buscan principalmente accesos iniciales valiosos para traicionar a un actor vinculado al estado que búsqueda inteligencia perspicaz”, agregó la agencia.
En los últimos meses, UNC5174 se ha relacionado con la explotación activa de los fallas de SAP Netweaver para establecer Goreverse, una cambio de Goreshell. El equipo de piratería además ha utilizado las vulnerabilidades en las redes de Palo Suspensión, la pantalla de pantalla de conexión de Connectwise y el software F5 Big-IP en el pasado para entregar el malware de la luz de cocaína, que luego se usa para soltar una utilidad de túneles de golang convocatoria Goheavy.
Otro mensaje de Sentinelone atribuyó al actor de amenaza a una intrusión contra una “ordenamiento de medios europea líder” a fines de septiembre de 2024.
En los ataques documentados por ANSSI, se ha observado que los atacantes explotan tres defectos de seguridad en dispositivos Ivanti CSA, CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190, como días cero para obtener credenciales y establecer persistencia utilizando uno de los tres métodos–
- Implementando directamente shells web PHP
- Modificar los scripts de PHP existentes para inyectar capacidades de shell web, y
- Instalación de un módulo de kernel que sirve como rootkit
Los ataques se caracterizan por el uso de conchas web disponibles públicamente como Behinder y Neo-Regegeorg, seguido por el despliegue de gorebrado para permanecer la persistencia a posteriori de los movimientos laterales. Todavía se emplea una utensilio de túnel proxy HTTP convocatoria Suo5 y un módulo de kernel de Linux llamado “Sysinitd.ko” que fue documentada por Fortinet en octubre de 2024 y enero de 2025.
“Se compone de un módulo de kernel (Sysinitd.KO) y un archivo ejecutable de espacio de adjudicatario (SYSINITD) instalado en el dispositivo dirigido a través de la ejecución de un script de shell: install.sh”, dijo ANSSI. “Al secuestrar el tráfico TCP entrante sobre todos los puertos e invocar conchas, Sysinitd.KO y Sysinitd permiten la ejecución remota de cualquier comando con privilegios raíz”.
Eso no es todo. Por otra parte de realizar el agradecimiento y proceder en la zona horaria de UTC+8 (que corresponde al tiempo en serie de China), se ha observado a los atacantes que intentan parchear las vulnerabilidades, probablemente evitar la explotación de otros actores no relacionados, agregó ANSSI.
Se sospecha que los actores de amenaza tienen un amplio rango de orientación, que comprende sectores gubernamentales y educativos en el sudeste oriental, organizaciones no gubernamentales ubicadas en China, incluidos Hong Kong y Macao, y sectores gubernativo, de defensa, educación, medios de comunicación o telecomunicaciones en Poniente.
Por otra parte de eso, las similitudes de artesanía entre Houken y UNC5174 han planteado la posibilidad de que sean operados por un actor de amenaza global. Dicho esto, al menos en un incidente, se dice que los actores de amenaza han armado el llegada a desplegar mineros de criptomonedas, subrayando sus motivaciones financieras.
“El actor de amenaza detrás de los conjuntos de intrusos Houken y UNC5174 podría corresponder a una entidad privada, vendiendo accesos y datos valiosos a varios organismos vinculados al estado mientras buscan sus propios intereses que lideran operaciones orientadas lucrativas”, dijo Anssi.
