Nel settembre 2024 la Francia ha registrato una serie di attacchi informatici mirati a entità governative, telecomunicazioni, media, finanza e trasporti. Questi attacchi sono stati attribuiti a un gruppo di hacker cinesi conosciuto come Houken, che ha sfruttato vulnerabilità zero-day nei dispositivi Ivanti Cloud Services Appliance (CSA).
Gli operatori di Houken hanno utilizzato vulnerabilità zero-day e rootkit sofisticati, insieme a numerosi strumenti open source creati principalmente da sviluppatori di lingua cinese. L'infrastruttura di attacco comprende VPN commerciali e server dedicati, riflettendo un approccio multi-attore dove diversi attori malevoli collaborano per sfruttare le vulnerabilità, ottenere accesso iniziale e poi rivendere tali accessi ad altri gruppi interessati a ulteriori attività dannose.
Dal 2023 Houken agisce come initial access broker, facilitando il primo ingresso nelle reti bersaglio per poi cedere il controllo a terze parti. Questa strategia è stata confermata anche da HarfangLab, sottolineando come il gruppo si concentri sulla creazione e vendita di accessi a soggetti legati a stati nazionali, in cerca di informazioni sensibili.
Oltre alle vulnerabilità di Ivanti CSA, UNC5174 è stato collegato allo sfruttamento attivo di falle in SAP NetWeaver, Palo Alto Networks, Connectwise ScreenConnect e F5 BIG-IP per diffondere malware come GOREVERSE, SNOWLIGHT e la utility di tunneling GOHEAVY. Nel caso specifico francese, gli hacker hanno sfruttato tre CVE (CVE-2024-8963, CVE-2024-9380, CVE-2024-8190) per ottenere credenziali e mantenere la persistenza tramite tre metodi principali:
- Installazione diretta di web shell PHP
- Modifica di script PHP esistenti
- Installazione di un modulo kernel rootkit denominato sysinitd.ko
Gli attacchi si sono distinti per l’uso di web shell pubbliche come Behinder e neo-reGeorg, oltre a strumenti di tunneling HTTP come suo5. Il rootkit sysinitd.ko consente ai cybercriminali di intercettare tutto il traffico TCP in entrata e di eseguire comandi da remoto con privilegi root, aumentando il livello di compromissione.
Gli hacker agiscono principalmente nell’area UTC+8 (corrispondente al fuso orario cinese) e sono stati visti addirittura patchare le vulnerabilità dopo l’attacco, per impedire che altri gruppi rivali possano sfruttare gli stessi sistemi compromessi. Le vittime spaziano da enti governativi in Europa e Sud Est Asiatico a ONG in Cina, Hong Kong e Macao, oltre a settori difesa, istruzione e media in Occidente.
Le similitudini tra Houken e UNC5174 suggeriscono una possibile regia comune, ma in alcuni casi gli accessi ottenuti sono stati usati anche per il mining di criptovalute, indicando motivazioni economiche oltre che di spionaggio.