Gobierno francés afectado por hackers chinos que aprovechan vulnerabilidades de seguridad de Ivanti.

En el cierre de 2024, se identificaron múltiples vulnerabilidades críticas de tipo zero-day en dispositivos de Ivanti Cloud Services Appliance (CSA), las cuales fueron explotadas por actores de amenazas patrocinados por el Estado chino. Estos ataques se dirigieron a agencias gubernamentales francesas y diversas entidades comerciales, como empresas de telecomunicaciones, financieras y del transporte.

La Agencia Nacional de Seguridad de los Sistemas de Información de Francia (ANSSI) confirmó que tres vulnerabilidades específicas, enumeradas como CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190, fueron utilizadas por los atacantes para robar credenciales de acceso y establecer persistencia en los sistemas de las organizaciones afectadas. Durante la intrusión, se implementaron web shells en PHP, se modificaron scripts existentes para incorporar capacidades de web shell y se instalaron módulos de núcleo que funcionaron como rootkits.

Las investigaciones atribuyeron estos ataques a un grupo conocido como Houken, que previamente había sido observado aprovechando vulnerabilidades en SAP NetWeaver para introducir variantes de puerta trasera llamadas GoReShell. Según los analistas, este grupo exhibe características similares a una entidad que el equipo de Mandiant de Google ha catalogado como UNC5174.

Investigadores franceses indicaron que, aunque los operadores de Houken emplean vulnerabilidades zero-day y un rootkit sofisticado, también hacen uso de una variedad de herramientas de código abierto predominantemente desarrolladas por programadores de habla china. La infraestructura de ataque de Houken está compuesta por diversos elementos, incluyendo VPN comerciales y servidores dedicados.

Adicionalmente, se ha observado que Houken no se centra únicamente en objetivos occidentales; históricamente, también ha atacado una amplia gama de organizaciones gubernamentales y educativas en el sudeste asiático, China, Hong Kong y Macao. En cuanto a los objetivos occidentales, su enfoque ha sido principalmente en sectores como el gubernamental, la defensa, la educación, los medios de comunicación y las telecomunicaciones.

En el caso de Francia, es probable que múltiples actores de amenazas estuvieran involucrados, donde un grupo actuó como intermediario de acceso inicial y otro adquirió dicho acceso para buscar información valiosa y otros datos sensibles.