Hackers de Houken, vinculados con China, vulneran sistemas franceses con ataques de día cero de Ivanti.

En un informe publicado por ANSSI el 1 de julio de 2025, la agencia francesa de ciberseguridad reveló que un grupo de ciberdelincuentes altamente calificado, denominado Houken, llevó a cabo una sofisticada campaña de ataque explotando múltiples vulnerabilidades de día cero ( CVE-2024-8190, CVE-2024-8963 y CVE-2024-9380 ) en dispositivos Ivanti Cloud Service Appliance (CSA).

Este grupo, presuntamente vinculado al actor de amenazas chino UNC5174, se infiltró en objetivos de alto valor en toda Francia. Entre los sectores afectados se encontraban organismos gubernamentales, organizaciones de defensa, proveedores de telecomunicaciones, instituciones financieras, medios de comunicación y redes de transporte.

Los ataques se observaron por primera vez en septiembre de 2024, dirigidos contra entidades francesas que buscaban acceso inicial a sus redes. Estas vulnerabilidades de día cero , es decir, desconocidas para Ivanti y el público hasta su explotación, permitieron a los atacantes ejecutar código de forma remota en dispositivos vulnerables.

La investigación de ANSSI reveló que este grupo utiliza herramientas complejas como un rootkit especializado, específicamente un módulo de kernel llamado sysinitd.ko y un ejecutable de espacio de usuario sysinitd, pero también dependen de muchas herramientas de código abierto a menudo creadas por desarrolladores de habla china.

Después de obtener acceso inicial a través de los dispositivos Ivanti CSA , los piratas informáticos de Houken también realizaron reconocimiento y se movieron lateralmente dentro de las redes de las víctimas, incluso comprometiendo otros dispositivos como F5 BIG-IP.

La ANSSI sospecha que los hackers de Houken actúan como intermediarios de acceso inicial. Esto significa que se afianzan en sistemas sensibles, posiblemente para vender el acceso a otros grupos interesados ​​en actividades de espionaje más profundas.

Si bien su objetivo principal parece ser vender acceso a información de inteligencia, ANSSI también detectó un caso de robo de datos e intentos de instalar mineros de criptomonedas, lo que sugiere que a veces buscan ganancias financieras directas.

El grupo Houken tiene una amplia gama de objetivos más allá de Francia, incluyendo organizaciones en el Sudeste Asiático y países occidentales. Sus actividades, incluyendo la observación de su horario de atención, se ajustan al horario estándar de China (UTC+8). Para ocultar sus operaciones, el grupo utilizó una infraestructura de ataque diversa, que incluía servicios VPN comerciales, servidores dedicados e incluso direcciones IP residenciales o móviles.

Los vínculos entre Houken y UNC5174, un grupo previamente descrito por Mandiant, son fuertes ya que ambos grupos exhiben comportamientos similares, como crear cuentas de usuario específicas y, en particular, parchar vulnerabilidades después de la explotación.

Lo que hace que esta campaña sea particularmente notable es la astuta maniobra de los atacantes: parcharon las mismas vulnerabilidades que usaron para entrar. Garrett Calpouzos , investigador principal de seguridad de Sonatype, señaló en un comentario compartido con Hackread.com que esta es "una táctica que vemos con mayor frecuencia entre los actores de amenazas avanzadas". Al corregir la falla después de su entrada, los hackers de Houken evitaron que otros grupos de hackers usaran los mismos puntos débiles, lo que les permitió permanecer ocultos durante más tiempo. Esto sugiere un deseo de acceso continuo y sin ser detectados a sus objetivos.

Calpouzos enfatizó la importancia de proteger los sistemas conectados a internet, especialmente con vulnerabilidades de ejecución remota de código (RCE). También destacó que estos incidentes ponen de relieve los riesgos únicos que enfrentan objetivos de alto valor, como las agencias gubernamentales, que a menudo tienen dificultades para actuar con rapidez debido a obstáculos burocráticos.

El grupo Houken sigue activo y los expertos esperan que continúe atacando dispositivos expuestos a Internet en todo el mundo.