Un’importante campagna di cyberattacchi condotta da attori sponsorizzati dalla Cina ha colpito diversi settori strategici in Francia sfruttando vulnerabilità zero-day nei dispositivi Ivanti Cloud Services Appliance (CSA). L’operazione è attribuita al gruppo Houken, in parte sovrapponibile al cluster noto come UNC5174, già tracciato da Google Mandiant.
Secondo l’ANSSI (Agenzia nazionale per la sicurezza dei sistemi informativi francese), la campagna — attiva da settembre 2024 — ha interessato enti governativi, telecomunicazioni, media, finanza e trasporti. Houken utilizza exploit su dispositivi Ivanti CSA per ottenere accessi iniziali, che vengono poi probabilmente venduti a gruppi terzi, spesso legati a interessi statali. Questa catena d’attacco riflette un modello a più livelli: un primo gruppo identifica le vulnerabilità, un secondo le sfrutta su larga scala per aprire varchi nei sistemi, e terzi soggetti acquistano gli accessi per eseguire attività mirate di post-exploitation.
Gli attaccanti hanno sfruttato le vulnerabilità CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190 per impiantare web shell PHP, modificare script esistenti e installare un rootkit kernel chiamato sysinitd.ko, associato a un eseguibile in spazio utente denominato sysinitd. Il tutto viene installato tramite script e consente l’esecuzione remota di comandi con privilegi root. Oltre a queste tecniche, sono stati utilizzati strumenti come il tunneler HTTP proxy suo5, il malware GOREVERSE per il mantenimento dell’accesso e strumenti open-source scritti da sviluppatori sinofoni.
I segnali raccolti indicano che il gruppo agisce dal fuso orario UTC+8, che corrisponde alla Cina continentale. Il comportamento osservato include anche tentativi di patchare autonomamente le vulnerabilità sfruttate, impedendo così ad altri attori di utilizzarle, segno di una sofisticazione avanzata. Le vittime confermate includono enti pubblici e universitari del Sud-est asiatico, ONG operative a Hong Kong e Macao, e infrastrutture critiche in Francia e altri Paesi occidentali.
In un caso specifico, l’accesso ottenuto è stato sfruttato per installare cryptominer, confermando anche interessi economici diretti oltre alla classica raccolta informativa. Secondo ANSSI, il gruppo potrebbe rappresentare una struttura privata che vende dati e accessi a diversi attori statali, proseguendo operazioni offensive con finalità lucrative.
