Des pirates informatiques liés à Houken, liés à la Chine, ont piraté les systèmes français avec Ivanti Zero Days

Dans un rapport publié par l'ANSSI le 1er juillet 2025, l'agence française de cybersécurité a révélé qu'un groupe de cybercriminels hautement qualifié, baptisé Houken, a mené une campagne d'attaque sophistiquée exploitant plusieurs vulnérabilités zero-day ( CVE-2024-8190, CVE-2024-8963 et CVE-2024-9380 ) dans les appareils Ivanti Cloud Service Appliance (CSA).

Ce groupe, soupçonné d'être lié à l'acteur chinois UNC5174, a infiltré des cibles de grande valeur en France. Les secteurs touchés comprenaient des organismes gouvernementaux, des organismes de défense, des fournisseurs de télécommunications, des institutions financières, des médias et des réseaux de transport.

Les attaques ont été observées pour la première fois en septembre 2024, ciblant des entités françaises cherchant à accéder à leurs réseaux. Ces vulnérabilités zero-day , c'est-à-dire inconnues d'Ivanti et du public jusqu'à leur exploitation, ont permis aux attaquants d'exécuter du code à distance sur des appareils vulnérables.

L'enquête de l'ANSSI a révélé que ce groupe utilise des outils complexes comme un rootkit spécialisé, notamment un module de noyau nommé sysinitd.ko et un exécutable en espace utilisateur sysinitd, mais s'appuie également sur de nombreux outils open source souvent créés par des développeurs sinophones.

Après avoir obtenu un accès initial via les appareils Ivanti CSA , les pirates de Houken ont également effectué une reconnaissance et se sont déplacés latéralement au sein des réseaux des victimes, compromettant même d'autres appareils tels que F5 BIG-IP.

L'ANSSI soupçonne les pirates informatiques de Houken d'agir comme intermédiaires d'accès. Cela signifie qu'ils s'introduisent dans des systèmes sensibles, peut-être pour vendre l'accès à d'autres groupes intéressés par des activités d'espionnage plus poussées.

Bien que leur objectif principal semble être de vendre des accès à des fins de renseignement, l'ANSSI a également constaté un cas de vol de données et de tentatives d'installation de mineurs de cryptomonnaie, ce qui suggère qu'ils recherchent parfois un gain financier direct.

Le groupe Houken cible un large éventail de cibles au-delà de la France, notamment des organisations d'Asie du Sud-Est et des pays occidentaux. Ses activités, notamment la surveillance de ses horaires d'ouverture, sont synchronisées avec l'heure normale de Chine (UTC+8). Pour dissimuler ses opérations, le groupe a utilisé une infrastructure d'attaque diversifiée, comprenant des services VPN commerciaux, des serveurs dédiés et même des adresses IP résidentielles ou mobiles.

Les liens entre Houken et UNC5174, un groupe précédemment décrit par Mandiant, sont forts car les deux groupes présentent des comportements similaires, tels que la création de comptes utilisateurs spécifiques et, notamment, la correction des vulnérabilités après exploitation.

Ce qui rend cette campagne particulièrement remarquable, c'est la ruse des attaquants : ils ont corrigé les vulnérabilités mêmes qu'ils utilisaient pour pénétrer dans le système. Garrett Calpouzos , chercheur principal en sécurité chez Sonatype, a souligné dans un commentaire partagé avec Hackread.com qu'il s'agit d'une « tactique que nous observons de plus en plus fréquemment chez les acteurs malveillants avancés ». En corrigeant la faille après leur pénétration, les pirates Houken ont empêché d'autres groupes de pirates d'exploiter les mêmes failles, ce qui leur a permis de rester cachés plus longtemps . Cela suggère une volonté d'accéder continuellement et sans être détectés à leurs cibles.

Calpouzos a souligné l'importance de sécuriser les systèmes connectés à Internet, notamment face aux vulnérabilités d'exécution de code à distance (RCE). Il a également souligné que ces incidents mettent en évidence les risques spécifiques auxquels sont confrontées des cibles de grande valeur telles que les agences gouvernementales, qui peinent souvent à réagir rapidement en raison d'obstacles bureaucratiques.

Le groupe Houken reste actif et les experts s'attendent à ce qu'il continue à cibler les appareils exposés à Internet dans le monde entier.