La Agencia de Ciberseguridad Francesa reveló el martes que una serie de entidades que abarcan los sectores gubernamentales, de telecomunicaciones, medios de comunicación, finanzas y de transporte en el país se vieron afectadas por una campaña maliciosa realizada por un grupo de piratería chino mediante el armamento de varias vulnerabilidades de los días cero en los dispositivos de servicios de servicios en la nube Ivanti (CSA).
La campaña, detectada a principios de septiembre de 2024, se ha atribuido a un conjunto de intrusiones distintivo en el código Sostenerque se evalúa para compartir algunas superposiciones de nivel con un clúster de amenazas rastreado por Google Mandiant bajo el apodo UNC5174 (también conocido como Uteus o Uetus).
«Si bien sus operadores usan vulnerabilidades de día cero y un rootkit sofisticado, también aprovechan una amplia cantidad de herramientas de código abierto en su mayoría creados por desarrolladores de habla china», dijo la Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI). «La infraestructura de ataque de Houken está compuesta por diversos elementos, incluidas VPN comerciales y servidores dedicados».
La agencia teorizó que Houken probablemente está siendo utilizado por un corredor de acceso inicial desde 2023 con el objetivo de obtener un punto de apoyo en las redes objetivo y luego compartir con otros actores de amenaza interesados en llevar a cabo actividades de seguimiento posteriores a la explotación, reflejar un enfoque multiparte de la explotación de vulnerabilidad, como lo señalan Harfanglab.
«Una primera parte identifica vulnerabilidades, un segundo los usa a escala para crear oportunidades, luego los accesos se distribuyen a terceros que intentan desarrollar objetivos de interés», señaló la compañía francesa de seguridad cibernética a principios de febrero.
«Los operadores detrás de los conjuntos de intrusiones de UNC5174 y Houken probablemente buscan principalmente accesos iniciales valiosos para vender a un actor vinculado al estado que busca inteligencia perspicaz», agregó la agencia.
En los últimos meses, UNC5174 se ha relacionado con la explotación activa de los fallas de SAP Netweaver para administrar Goreverse, una variante de Goreshell. El equipo de piratería también ha aprovechado las vulnerabilidades en las redes de Palo Alto, la pantalla de pantalla de conexión de Connectwise y el software F5 Big-IP en el pasado para entregar el malware de la luz de nieve, que luego se usa para soltar una utilidad de túneles de golang llamada Goheavy.
Otro informe de Sentinelone atribuyó al actor de amenaza a una intrusión contra una «organización de medios europea líder» a fines de septiembre de 2024.
En los ataques documentados por ANSSI, se ha observado que los atacantes explotan tres defectos de seguridad en dispositivos Ivanti CSA, CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190, como días cero para obtener credenciales y establecer persistencia utilizando uno de los tres métodos–
- Implementando directamente shells web PHP
- Modificar los scripts de PHP existentes para inyectar capacidades de shell web, y
- Instalación de un módulo de kernel que sirve como rootkit
Los ataques se caracterizan por el uso de conchas web disponibles públicamente como Behinder y Neo-Regegeorg, seguido por el despliegue de gorebrado para mantener la persistencia después de los movimientos laterales. También se emplea una herramienta de túnel proxy HTTP llamada Suo5 y un módulo de kernel de Linux llamado «Sysinitd.ko» que fue documentada por Fortinet en octubre de 2024 y enero de 2025.
«Se compone de un módulo de kernel (Sysinitd.KO) y un archivo ejecutable de espacio de usuario (SYSINITD) instalado en el dispositivo dirigido a través de la ejecución de un script de shell: install.sh», dijo ANSSI. «Al secuestrar el tráfico TCP entrante sobre todos los puertos e invocar conchas, Sysinitd.KO y Sysinitd permiten la ejecución remota de cualquier comando con privilegios raíz».
Eso no es todo. Además de realizar el reconocimiento y operar en la zona horaria de UTC+8 (que corresponde al tiempo estándar de China), se ha observado a los atacantes que intentan parchear las vulnerabilidades, probablemente evitar la explotación de otros actores no relacionados, agregó ANSSI.
Se sospecha que los actores de amenaza tienen un amplio rango de orientación, que comprende sectores gubernamentales y educativos en el sudeste asiático, organizaciones no gubernamentales ubicadas en China, incluidos Hong Kong y Macao, y sectores gubernamental, de defensa, educación, medios de comunicación o telecomunicaciones en Occidente.
Además de eso, las similitudes de artesanía entre Houken y UNC5174 han planteado la posibilidad de que sean operados por un actor de amenaza común. Dicho esto, al menos en un incidente, se dice que los actores de amenaza han armado el acceso a desplegar mineros de criptomonedas, subrayando sus motivaciones financieras.
«El actor de amenaza detrás de los conjuntos de intrusos Houken y UNC5174 podría corresponder a una entidad privada, vendiendo accesos y datos valiosos a varios organismos vinculados al estado mientras buscan sus propios intereses que lideran operaciones orientadas lucrativas», dijo Anssi.
