Un sofisticato gruppo di minacce cinese, identificato come Houken, ha sferrato una massiccia campagna di attacchi, sfruttando molteplici vulnerabilità zero-day nei dispositivi Ivanti Cloud service appliance (Csa) per distribuire rootkit Linux avanzati e stabilire un accesso persistente a reti di infrastrutture critiche in tutto il mondo.
L’Agenzia nazionale per la sicurezza dei sistemi d’Informazione (Anssi) francese ha rivelato l’ampiezza e la profondità di questa operazione in un rapporto dettagliato, sottolineando la crescente minaccia posta da attori statali o loro affiliati nel panorama della cyber security globale.
Indice degli argomenti
Il vettore d’attacco: un inizio silenzioso e devastante
La campagna, iniziata nel settembre 2024, ha colpito indiscriminatamente organizzazioni nei settori governativo, delle telecomunicazioni, dei media, della finanza e dei trasporti in Francia e oltre i suoi confini.
L’aspetto più allarmante di questi attacchi è l’uso coordinato di tre vulnerabilità critiche di Ivanti CSA: CVE-2024-8190, CVE-2024-8963 e CVE-2024-9380. Tutte e tre le falle sono state sfruttate come zero-day, prima che Ivanti ne pubblicasse gli avvisi di sicurezza e le patch.
Questo dimostra le avanzate capacità degli operatori di Houken nella ricerca di vulnerabilità e nella loro capacità di accedere a falle ancora sconosciute.
Una volta all’interno, gli obiettivi consisatevano nell’ottenere credenziali attraverso l’esecuzione di uno script Python codificato in base64, garantire la persistenza tramite la distribuzione o la creazione di webshell PHP, la modifica di script PHP esistenti per aggiungere capacità di webshell e, in alcuni casi, l’installazione di un modulo del kernel che agisce come rootkit una volta caricato.
In un tentativo di prevenire lo sfruttamento da parte di altri attori, Houken ha persino tentato di auto-patchare le risorse web interessate dalle vulnerabilità.
L’Anssi ha osservato le attività più recenti relative a questa campagna alla fine di novembre 2024.
Portata globale e profili degli obiettivi
Sebbene l’Anssi abbia fornito un supporto significativo alle entità francesi colpite, assistendo nell’analisi forense e nelle azioni correttive, la portata della campagna di Houken si estende ben oltre i confini francesi.
Gli analisti hanno identificato incidenti che interessano il Sud-est asiatico (in particolare Thailandia, Vietnam e Indonesia), l’Europa e gli Stati Uniti.
Gli obiettivi sono stati selezionati con criteri precisi: enti governativi, telecomunicazioni, media, finanza e trasporti, con un’attenzione particolare agli istituti di ricerca, alle organizzazioni non governative (ONG) e alle entità di valore strategico in termini di intelligence.
L’attività operativa degli aggressori è riconducibile al fuso orario UTC+8, che si allinea con l’ora standard cinese (CST).
Houken e UNC5174: un legame sospetto e profondo
Le indagini dell’Anssi hanno rivelato collegamenti significativi tra Houken e un set di intrusione precedentemente documentato da Mandiant e Google Threat Intelligence Group (GTIG) come UNC5174.
Descritto come un potenziale broker di accesso per il ministero della Sicurezza di Stato (MSS) della Repubblica popolare cinese, quest’ultimo ha somiglianze con l’altro gruppo:
- creazione di account specifici: in un incidente in cui Houken ha sfruttato un dispositivo F5 BIG-IP, è stato creato un account locale denominato “Root6”, un comportamento già descritto da GTIG per UNC5174.
- auto-patching delle vulnerabilità: entrambi i gruppi hanno mostrato la tendenza a auto-patchare le vulnerabilità appena sfruttate, una tecnica dettagliata da GTIG per le TTP (tecniche, tattiche e procedure) di UNC5174.
- strumenti open-source condivisi: Houken utilizza strumenti open-source già associati a UNC5174, come Goreverse, VShell, fscan e ffuff. Questi strumenti sono sviluppati principalmente da programmatori di lingua cinese e sembrano essere usati da attori legati agli interessi strategici cinesi.
- uso del filename “OutlookEN.aspx”: UNC5174 ha precedentemente distribuito webshell suo5 utilizzando il filename “OutlookEN.aspx”, una pratica ripresa da Houken.
Un attore di minacce comune
Queste similitudini suggeriscono fortemente che Houken e UNC5174 siano gestiti da un attore di minacce comune.
Questo attore utilizza le proprie capacità offensive non solo per vendere punti d’accesso su obiettivi rilevanti, ma anche dati di valore.
L’Anssi ha osservato attività di post-sfruttamento di Houken più intense sulle reti vittime con un potenziale valore per la raccolta di intelligence. In un caso specifico di marzo 2025, Houken ha esfiltrato una quantità massiccia di email da un server di posta appartenente al ministero degli Affari Esteri di un Paese sudamericano, utilizzando uno script disponibile su un blog in lingua cinese.
Questo indica che la raccolta di intelligence potrebbe essere una motivazione aggiuntiva per questo attore.
Un paradosso operativo: sofisticazione e “commodity”
Gli aggressori di Houken presentano una combinazione paradossale di tecniche: sfruttano vulnerabilità zero-day e un rootkit sofisticato, ma allo stesso tempo impiegano un’ampia gamma di strumenti open-source, spesso frutto dello sviluppo di programmatori di lingua cinese.
Questa ambivalenza suggerisce un possibile approccio multi-attore, dove un gruppo si occupa dell’identificazione delle vulnerabilità e un altro dell’industrializzazione dello sfruttamento.
L’infrastruttura d’attacco di Houken è altrettanto diversificata. Utilizzano servizi Vpn commerciali popolari come NordVPN, ExpressVPN, Proton VPN, Deeper Network VPN, Surfshark VPN e IVPN per celare le loro attività. Sono presenti anche nodi di uscita Tor. Inoltre, si avvalgono di server dedicati, principalmente Virtual Private Servers (VPS) ospitati da fornitori come Hosthatch, ColoCrossing e JVPS.hosting.
Questi Vps hanno configurazioni anche come server di comando e controllo (C2) per strumenti specifici distribuiti negli ambienti delle vittime, come i payload Goreverse.
Alcune attività malevole sono addirittura originate da indirizzi IP residenziali o mobili, suggerendo l’uso di servizi di proxy residenziali. La mancanza di segmentazione nell’infrastruttura d’attacco potrebbe indicare una considerazione insufficiente per la sicurezza operativa.
Meccanismi avanzati di distribuzione e persistenza dei rootkit
L’aspetto più preoccupante del toolkit di Houken è l’implementazione di un rootkit Linux precedentemente non osservato, composto da due componenti: un modulo kernel (sysinitd.ko) e un eseguibile nello spazio utente (sysinitd).
Questo sofisticato meccanismo di persistenza dirotta il traffico Tcp in entrata su tutte le porte, consentendo l’esecuzione di comandi remoti con privilegi di root tramite una tecnica che aggira il monitoraggio di rete tradizionale.
L’installazione del rootkit inizia con l’esecuzione di webshell create sfruttando le vulnerabilità.
Per esempio, gli aggressori utilizzano la CVE-2024-9380 per iniettare codice PHP malevolo, come dimostrato dalla creazione del file /opt/landesk/broker/webroot/rc/help.php.
Una volta stabilito l’accesso iniziale, gli autori della minaccia distribuiscono i componenti del rootkit e stabiliscono molteplici meccanismi di persistenza. Modificano gli script PHP legittimi, aggiungendo codice malevolo a /etc/php.ini per consentire l’esecuzione universale dei comandi indipendentemente dalla pagina web a cui si accede.
La modifica include l‘impostazione allow_url_include = On e l’uso di funzioni di valutazione PHP codificate in base64, che decodificano in <?php @eval($_REQUEST[justatest]); ?>.
La capacità di dirottamento TCP del rootkit rappresenta un notevole progresso nella tecnologia di persistenza, consentendo agli aggressori di mantenere l’accesso anche quando si scoprono e si rimuovono le backdoor tradizionali, rendendo il rilevamento e la correzione particolarmente difficili per i difensori.
Houken punta a profitto e spionaggio statale
Sebbene la motivazione principale di Houken sembri essere l’ottenimento di accessi iniziali da rivendere, l’Anssi ha anche osservato casi di esfiltrazione di dati e un interesse per il dispiegamento di cryptominer.
In un caso specifico in Francia, si è rilevata l’installazione di un cryptominer Monero (XMR). A confermare ciò sono indagini dell’Anssi sulle precedenti attività di UNC5174, che hanno mostrato un interesse per strumenti legati alla piattaforma cinese di mining di Monero C3Pool. Tuttavia, l’uso di cryptominer rimane poco comune per questo attore.
Questo suggerisce che l’attore dietro Houken e UNC5174 potrebbe essere un’entità privata che vende accessi e dati preziosi a più enti legati allo stato, perseguendo contemporaneamente i propri interessi lucrativi.
Un comportamento simile appare in altri set di intrusione legati alla Cina, come quelli associati alla galassia APT41, con precedenti collegamenti a numerose entità del settore privato.
Houken può diventare una minaccia persistente
L’attore di minacce dietro i set di intrusione Houken e UNC5174 rimane attivo. È probabile che entrambi i gruppi continuino a colpire apparecchiature esposte a Internet, come i gestori di endpoint o gli apparati Vpn, attraverso lo sfruttamento di vulnerabilità a livello mondiale.
Rapporti recenti di Sysdige Eclecticiq hanno dettagliato campagne di attacco tra novembre 2024 e aprile 2025, collegandole a UNC5174 tramite l’uso della backdoor in memoria VShell.
Tuttavia, l’Ansii non ha potuto confermare un legame diretto, poiché Snowlight, il downloader di VShell, potrebbe non essere esclusivo di UNC5174.
La continua evoluzione delle tattiche di Houken, la loro capacità di sfruttare zero-day e la loro ambivalenza operativa rappresentano una sfida significativa per la sicurezza informatica globale. La cooperazione internazionale e la condivisione delle informazioni sulle minacce saranno cruciali per contrastare efficacemente le operazioni di questi attori.
