Nel settembre 2024 la Francia ha registrato una serie di attacchi informatici mirati a entità governative, telecomunicazioni, media, finanza e trasporti. Questi attacchi sono stati attribuiti a un gruppo di hacker cinesi conosciuto come Houken, che ha sfruttato vulnerabilità zero-day nei dispositivi Ivanti Cloud Services Appliance (CSA). Secondo l'agenzia francese per la sicurezza informatica ANSSI, Houken mostra sovrapposizioni con il gruppo UNC5174, noto anche come Uteus, già monitorato dagli esperti di sicurezza.

Gli operatori di Houken hanno utilizzato vulnerabilità zero-day e rootkit sofisticati, insieme a numerosi strumenti open source creati principalmente da sviluppatori di lingua cinese. L'infrastruttura di attacco comprende VPN commerciali e server dedicati, riflettendo un approccio multi-attore dove diversi attori malevoli collaborano per sfruttare le vulnerabilità, ottenere accesso iniziale e poi rivendere tali accessi ad altri gruppi interessati a ulteriori attività dannose.

Dal 2023 Houken agisce come initial access broker, facilitando il primo ingresso nelle reti bersaglio per poi cedere il controllo a terze parti. Questa strategia è stata confermata anche da HarfangLab, sottolineando come il gruppo si concentri sulla creazione e vendita di accessi a soggetti legati a stati nazionali, in cerca di informazioni sensibili.

Oltre alle vulnerabilità di Ivanti CSA, UNC5174 è stato collegato allo sfruttamento attivo di falle in SAP NetWeaver, Palo Alto Networks, Connectwise ScreenConnect e F5 BIG-IP per diffondere malware come GOREVERSE, SNOWLIGHT e la utility di tunneling GOHEAVY. Nel caso specifico francese, gli hacker hanno sfruttato tre CVE (CVE-2024-8963, CVE-2024-9380, CVE-2024-8190) per ottenere credenziali e mantenere la persistenza tramite tre metodi principali:

• Installazione diretta di web shell PHP
• Modifica di script PHP esistenti
• Installazione di un modulo kernel rootkit denominato sysinitd.ko

Gli attacchi si sono distinti per l’uso di web shell pubbliche come Behinder e neo-reGeorg, oltre a strumenti di tunneling HTTP come suo5. Il rootkit sysinitd.ko consente ai cybercriminali di intercettare tutto il traffico TCP in entrata e di eseguire comandi da remoto con privilegi root, aumentando il livello di compromissione.

Gli hacker agiscono principalmente nell’area UTC+8 (corrispondente al fuso orario cinese) e sono stati visti addirittura patchare le vulnerabilità dopo l’attacco, per impedire che altri gruppi rivali possano sfruttare gli stessi sistemi compromessi. Le vittime spaziano da enti governativi in Europa e Sud Est Asiatico a ONG in Cina, Hong Kong e Macao, oltre a settori difesa, istruzione e media in Occidente.

Le similitudini tra Houken e UNC5174 suggeriscono una possibile regia comune, ma in alcuni casi gli accessi ottenuti sono stati usati anche per il mining di criptovalute, indicando motivazioni economiche oltre che di spionaggio.