Powiązani z Chinami hakerzy z Houken włamują się do francuskich systemów za pomocą Ivanti Zero Days

W raporcie opublikowanym przez ANSSI 1 lipca 2025 r. francuska agencja ds. cyberbezpieczeństwa ujawniła, że ​​wysoce wyspecjalizowana grupa zajmująca się cyberprzestępczością o nazwie Houken przeprowadziła wyrafinowaną kampanię ataków, wykorzystując wiele luk typu zero-day ( CVE-2024-8190, CVE-2024-8963 i CVE-2024-9380 ) w urządzeniach Ivanti Cloud Service Appliance (CSA).

Ta grupa, uważana za powiązaną z chińskim aktorem zagrożenia UNC5174, zinfiltrowała cele o wysokiej wartości w całej Francji. Dotknięte sektory obejmowały organy rządowe, organizacje obronne, dostawców usług telekomunikacyjnych, instytucje finansowe, media i sieci transportowe.

Ataki zaobserwowano po raz pierwszy we wrześniu 2024 r. i były one wymierzone w podmioty francuskie poszukujące wstępnego dostępu do ich sieci. Te luki typu zero-day , co oznacza, że ​​były nieznane Ivanti i opinii publicznej do momentu ich wykorzystania, umożliwiły atakującym zdalne wykonywanie kodu na podatnych urządzeniach.

Śledztwo ANSSI wykazało, że grupa ta korzysta ze złożonych narzędzi, takich jak specjalistyczny rootkit, a konkretnie moduł jądra o nazwie sysinitd.ko i plik wykonywalny przestrzeni użytkownika sysinitd, ale opiera się także na wielu narzędziach typu open source, często tworzonych przez chińskojęzycznych programistów.

Po uzyskaniu wstępnego dostępu za pośrednictwem urządzeń Ivanti CSA , hakerzy z Houken przeprowadzili również rozpoznanie i poruszali się po sieciach ofiar, atakując nawet inne urządzenia, takie jak F5 BIG-IP.

ANSSI podejrzewa, że ​​hakerzy Houken działają jako brokerzy dostępu początkowego. Oznacza to, że uzyskują dostęp do wrażliwych systemów, prawdopodobnie w celu sprzedaży dostępu innym grupom zainteresowanym głębszymi działaniami szpiegowskimi.

Choć ich głównym celem wydaje się być sprzedaż dostępu do informacji wywiadowczych, ANSSI odnotowała również przypadek kradzieży danych i próby zainstalowania programów do kopania kryptowalut, co sugeruje, że czasami szukają bezpośrednich korzyści finansowych.

Grupa Houken ma szeroki zakres celów poza Francją, w tym organizacje w Azji Południowo-Wschodniej i krajach zachodnich. Ich działania, w tym obserwacje godzin pracy, są zgodne z czasem standardowym Chin (UTC+8). Aby ukryć swoje działania, grupa wykorzystała różnorodną infrastrukturę ataku, w tym komercyjne usługi VPN, dedykowane serwery, a nawet adresy IP domowe lub mobilne.

Powiązania między Houkenem a grupą UNC5174, opisaną wcześniej przez Mandiant, są silne, ponieważ obie grupy wykazują podobne zachowania, takie jak tworzenie określonych kont użytkowników, a zwłaszcza łatanie luk w zabezpieczeniach po ich wykorzystaniu.

To, co czyni tę kampanię szczególnie godną uwagi, to przebiegły ruch atakujących: załatali luki, których użyli, aby się dostać. Garrett Calpouzos , główny badacz ds. bezpieczeństwa w Sonatype, zauważył w swoim komentarzu udostępnionym Hackread.com, że jest to „taktyka, którą widzimy coraz częściej wśród zaawansowanych aktorów zagrożeń ” . Naprawiając lukę po wejściu, hakerzy Houken odwrócili uwagę innych grup hakerskich od korzystania z tych samych słabych punktów, pomagając im pozostać ukrytymi dłużej. Sugeruje to chęć ciągłego, niewykrytego dostępu do ich celów.

Calpouzos podkreślił znaczenie zabezpieczania systemów skierowanych do Internetu, zwłaszcza w przypadku „luk zdalnego wykonywania kodu (RCE)”. Podkreślił również, że incydenty te podkreślają „unikalne ryzyka, z jakimi mierzą się cele o wysokiej wartości, takie jak agencje rządowe, które często mają trudności z szybkim działaniem z powodu przeszkód biurokratycznych”.

Grupa Houken jest nadal aktywna, a eksperci spodziewają się, że jej celem nadal będą urządzenia narażone na dostęp do Internetu na całym świecie.