Связанные с Китаем хакеры Houken взламывают французские системы с помощью Ivanti Zero Days

В отчете, опубликованном ANSSI 1 июля 2025 года, французское агентство по кибербезопасности сообщило, что высококвалифицированная киберпреступная группа, получившая название Houken, провела сложную атаку, используя множественные уязвимости нулевого дня ( CVE-2024-8190, CVE-2024-8963 и CVE-2024-9380 ) в устройствах Ivanti Cloud Service Appliance (CSA).

Эта группа, предположительно связанная с китайским злоумышленником UNC5174, проникла в высокодоходные цели по всей Франции. Пострадавшие секторы включали государственные органы, оборонные организации, поставщиков телекоммуникаций, финансовые учреждения, средства массовой информации и транспортные сети.

Атаки впервые были замечены в сентябре 2024 года, они были направлены на французские организации, пытающиеся получить первоначальный доступ к их сетям. Эти уязвимости нулевого дня , то есть они были неизвестны Ivanti и общественности до тех пор, пока не были использованы, позволили злоумышленникам удаленно выполнять код на уязвимых устройствах.

Расследование ANSSI показало, что эта группа использует сложные инструменты, такие как специализированный руткит, в частности модуль ядра под названием sysinitd.ko и исполняемый файл пользовательского пространства sysinitd, а также полагается на множество инструментов с открытым исходным кодом, часто созданных разработчиками, говорящими на китайском языке.

Получив первоначальный доступ через устройства Ivanti CSA , хакеры Houken также провели разведку и проникли в сети жертв, даже взломав другие устройства, такие как F5 BIG-IP.

ANSSI подозревает, что хакеры Houken действуют как посредники первоначального доступа. Это означает, что они закрепляются в чувствительных системах, возможно, чтобы продать доступ другим группам, заинтересованным в более глубокой шпионской деятельности.

Хотя их главной целью, по-видимому, является продажа доступа за разведданные, ANSSI также зафиксировала один случай кражи данных и попытки установки майнеров криптовалюты, что позволяет предположить, что иногда они ищут прямую финансовую выгоду.

Группа Houken имеет широкий спектр целей за пределами Франции, включая организации в Юго-Восточной Азии и западных странах. Их деятельность, включая наблюдение за их рабочими часами, совпадает с китайским стандартным временем (UTC+8). Для сокрытия своих операций группа использовала разнообразную инфраструктуру атак, включая коммерческие VPN-сервисы, выделенные серверы и даже домашние или мобильные IP-адреса.

Связи между Houken и группой UNC5174, ранее описанной Mandiant, сильны, поскольку обе группы демонстрируют схожее поведение, например, создание определенных учетных записей пользователей и, что примечательно, устранение уязвимостей после их эксплуатации.

Что делает эту кампанию особенно примечательной, так это хитрый ход злоумышленников: они исправили те самые уязвимости, которые использовали для проникновения. Гаррет Кальпузос , главный исследователь безопасности в Sonatype, отметил в своем комментарии, поделившись с Hackread.com, что это «тактика, которую мы все чаще видим среди продвинутых злоумышленников » . Устранив уязвимость после своего проникновения, хакеры из Houken не дали другим хакерским группам использовать те же слабые места, что помогло им дольше оставаться скрытыми. Это говорит о желании иметь постоянный, незаметный доступ к своим целям.

Кальпусос подчеркнул важность защиты систем, подключенных к Интернету, особенно с учетом «уязвимостей удаленного выполнения кода (RCE)». Он также подчеркнул, что эти инциденты подчеркивают «уникальные риски, с которыми сталкиваются такие важные цели, как государственные учреждения, которым часто трудно действовать быстро из-за бюрократических препон».

Группировка Houken продолжает активно действовать, и эксперты ожидают, что она продолжит атаковать устройства, имеющие выход в Интернет, по всему миру.