Франция опасается кибератак участием китайских хакеров, использующих уязвимости нулевого дня в Ivanti

Национальное агентство по информационной безопасности Франции (ANSSI) сообщило о выявлении масштабной вредоносной активности, связанной с китайскими киберпреступниками. Новая кампания вторжений, получившая название Houken, нацелена на организации во Франции и, по данным специалистов CERT-FR, представляет собой умеренно сложную операцию с применением уязвимостей нулевого дня и компонентов различного происхождения.

Согласно отчёту, опубликованному 1 июля 2025 года, специалисты ANSSI проследили активность злоумышленников как минимум с сентября 2024 года, хотя начальная фаза могла начаться ещё в 2023-м. Исследователи указали, что применяемые инструменты, архитектура инфраструктуры и характер кода указывают на возможную связь с китайскими структурами, а именно с группировкой UNC5174. Эту же группу ранее идентифицировали специалисты Google Threat Intelligence Group как одну из структур, связанных с Министерством государственной безопасности КНР.

По оценке ANSSI, группа злоумышленников использует Houken для первоначального проникновения во внутренние сети организаций, чтобы затем передать доступ другим субъектам, заинтересованным в получении разведывательной информации. Такое разделение функций между посредниками и конечными заказчиками наблюдается в ряде атак, связанных с государственными структурами.

В рамках кампании были активно использованы сразу три критические уязвимости — CVE-2024-8190, CVE-2024-8963 и CVE-2024-9380 — все они затрагивают компоненты Ivanti Cloud Service Appliance (CSA). Хакеры успешно объединяли эксплойты, позволяя удалённо запускать вредоносный код, получать учётные данные и сохранять присутствие в системе.

Для повышения устойчивости атаки использовался скомпилированный на Python скрипт в кодировке base64, позволяющий развернуть веб-оболочки на PHP. В ряде случаев злоумышленники вносили изменения в легитимные скрипты, расширяя их функциональность. Кроме того, было зафиксировано использование руткита в виде загружаемого модуля ядра, скрывающего присутствие вредоносной активности на скомпрометированном устройстве.

Эксперты ANSSI также указали на необычную практику, зафиксированную в этой кампании: злоумышленники после успешного проникновения самостоятельно устраняли обнаруженные уязвимости. По мнению агентства, это позволяло им исключить вмешательство конкурирующих группировок и обеспечить эксклюзивный доступ к скомпрометированным системам.

Все три уязвимости, эксплуатируемые в атаке, были официально закрыты в сентябре и октябре 2024 года. Тем не менее, ANSSI призывает организации к повторной проверке безопасности, особенно если оборудование Ivanti использовалось в корпоративной инфраструктуре.