Çin Bağlantılı Houken Hacker'ları Ivanti Zero Days ile Fransız Sistemlerini İhlal Etti

ANSSI'nin 1 Temmuz 2025'te yayınladığı bir raporda, Fransız siber güvenlik ajansı, Houken adlı oldukça yetenekli bir siber suç grubunun, Ivanti Bulut Hizmet Cihazı (CSA) aygıtlarındaki birden fazla sıfır günlük güvenlik açığını ( CVE-2024-8190, CVE-2024-8963 ve CVE-2024-9380 ) istismar eden karmaşık bir saldırı kampanyası yürüttüğünü ortaya koydu.

Çinli tehdit aktörü UNC5174 ile bağlantılı olduğuna inanılan bu grup, Fransa genelinde yüksek değerli hedeflere sızdı. Etkilenen sektörler arasında hükümet organları, savunma örgütleri, telekomünikasyon sağlayıcıları, finans kuruluşları, medya kuruluşları ve ulaşım ağları yer aldı.

Saldırılar ilk olarak Eylül 2024'te gözlemlendi ve ağlarına ilk erişimi arayan Fransız varlıklarını hedef aldı. Bu sıfır günlük güvenlik açıkları , yani Ivanti ve halk tarafından istismar edilene kadar bilinmedikleri için saldırganların güvenlik açığı bulunan cihazlarda uzaktan kod yürütmesine olanak sağladı.

ANSSI'nin araştırması , bu grubun sysinitd.ko adlı bir çekirdek modülü ve kullanıcı alanında çalıştırılabilir sysinitd gibi özel bir rootkit gibi karmaşık araçlar kullandığını, ancak aynı zamanda çoğunlukla Çince konuşan geliştiriciler tarafından oluşturulan birçok açık kaynaklı araca da güvendiğini ortaya koydu.

Ivanti CSA cihazları üzerinden ilk erişimi elde eden Houken saldırganları, keşif çalışmaları da gerçekleştirdi ve kurban ağları içerisinde yatay olarak hareket ederek F5 BIG-IP gibi diğer cihazları da tehlikeye attı.

ANSSI, Houken hacker'larının ilk erişim aracısı olarak hareket ettiğinden şüpheleniyor. Bu, hassas sistemlerde bir dayanak noktası elde ettikleri ve muhtemelen daha derin casusluk faaliyetleriyle ilgilenen diğer gruplara erişim sattıkları anlamına geliyor.

Ana amaçları istihbarat için erişim satmak gibi görünse de ANSSI, bir veri hırsızlığı ve kripto para madencileri kurma girişiminde bulunulduğunu da gördü; bu da bazen doğrudan finansal kazanç aradıklarını gösteriyor.

Houken grubunun Fransa'nın ötesinde Güneydoğu Asya ve Batı ülkelerindeki kuruluşlar da dahil olmak üzere geniş bir hedef yelpazesi bulunmaktadır. Faaliyetleri, çalışma saatlerinin gözlemlenmesi de dahil olmak üzere, Çin Standart Saati (UTC+8) ile uyumludur. Grup, operasyonlarını gizlemek için ticari VPN hizmetleri, özel sunucular ve hatta konut veya mobil IP adresleri de dahil olmak üzere çeşitli bir saldırı altyapısı kullanmıştır.

Mandiant'ın daha önce tanımladığı UNC5174 grubu ile Houken arasındaki bağlar güçlüdür; çünkü her iki grup da belirli kullanıcı hesapları oluşturma ve özellikle istismardan sonra güvenlik açıklarını kapatma gibi benzer davranışlar sergilemektedir.

Bu kampanyayı özellikle dikkat çekici kılan şey, saldırganların kurnazca hamlesi: İçeri girmek için kullandıkları güvenlik açıklarını yamaladılar. Sonatype'ta Baş Güvenlik Araştırmacısı olan Garrett Calpouzos , Hackread.com ile paylaştığı yorumunda bunun "gelişmiş tehdit aktörleri arasında daha sık gördüğümüz bir taktik " olduğunu belirtti. Houken hacker'ları, girişlerinden sonra açığı düzelterek diğer hacker gruplarının aynı zayıf noktaları kullanmasını engelledi ve daha uzun süre gizli kalmalarına yardımcı oldu. Bu, hedeflerine sürekli, tespit edilemeyen erişim isteğini gösteriyor.

Calpouzos, özellikle " uzaktan kod yürütme (RCE) güvenlik açıkları" olan internet bağlantılı sistemlerin güvenliğini sağlamanın önemini vurguladı. Ayrıca bu olayların "bürokratik engeller nedeniyle genellikle hızlı hareket etmekte zorlanan hükümet kurumları gibi yüksek değerli hedeflerin karşı karşıya olduğu benzersiz riskleri" vurguladığını vurguladı.

Houken grubu faaliyetlerini sürdürüyor ve uzmanlar grubun dünya çapında internete bağlı cihazları hedef almaya devam edeceğini öngörüyor.