Gli hacker di Houken, collegati alla Cina, violano i sistemi francesi con Ivanti Zero Days

In un rapporto pubblicato dall'ANSSI il 1° luglio 2025, l'agenzia francese per la sicurezza informatica ha rivelato che un gruppo di criminali informatici altamente qualificato, soprannominato Houken, ha condotto una sofisticata campagna di attacchi sfruttando molteplici vulnerabilità zero-day ( CVE-2024-8190, CVE-2024-8963 e CVE-2024-9380 ) nei dispositivi Ivanti Cloud Service Appliance (CSA).

Questo gruppo, ritenuto collegato al gruppo criminale cinese UNC5174, si è infiltrato in obiettivi di alto valore in tutta la Francia. Tra i settori interessati figurano enti governativi, organizzazioni di difesa, fornitori di servizi di telecomunicazioni, istituti finanziari, organi di stampa e reti di trasporto.

Gli attacchi sono stati osservati per la prima volta nel settembre 2024, prendendo di mira entità francesi che cercavano l'accesso iniziale alle loro reti. Queste vulnerabilità zero-day , ovvero sconosciute a Ivanti e al pubblico fino al momento del loro sfruttamento, hanno permesso agli aggressori di eseguire codice da remoto su dispositivi vulnerabili.

L'indagine dell'ANSSI ha rivelato che questo gruppo utilizza strumenti complessi come un rootkit specializzato, in particolare un modulo kernel denominato sysinitd.ko e un eseguibile nello spazio utente denominato sysinitd, ma si affida anche a numerosi strumenti open source spesso creati da sviluppatori di lingua cinese.

Dopo aver ottenuto l'accesso iniziale tramite i dispositivi Ivanti CSA , gli hacker di Houken hanno anche eseguito una ricognizione e si sono mossi lateralmente all'interno delle reti delle vittime, compromettendo persino altri dispositivi come F5 BIG-IP.

L'ANSSI sospetta che gli hacker di Houken agiscano come intermediari per l'accesso iniziale. Ciò significa che si infiltrano in sistemi sensibili, probabilmente per vendere l'accesso ad altri gruppi interessati ad attività di spionaggio più approfondite.

Sebbene il loro obiettivo principale sembri essere la vendita dell'accesso a fini di intelligence, l'ANSSI ha anche assistito a un caso di furto di dati e tentativi di installare miner di criptovalute, il che suggerisce che a volte cercano un guadagno finanziario diretto.

Il gruppo Houken ha una vasta gamma di obiettivi oltre la Francia, tra cui organizzazioni nel Sud-est asiatico e nei paesi occidentali. Le loro attività, incluso il monitoraggio dei loro orari operativi, sono in linea con l'ora standard cinese (UTC+8). Per nascondere le proprie operazioni, il gruppo ha utilizzato un'infrastruttura di attacco diversificata, che include servizi VPN commerciali, server dedicati e persino indirizzi IP residenziali o mobili.

I legami tra Houken e UNC5174, un gruppo precedentemente descritto da Mandiant, sono forti, poiché entrambi i gruppi mostrano comportamenti simili, come la creazione di account utente specifici e, in particolare, l'applicazione di patch alle vulnerabilità dopo lo sfruttamento.

Ciò che rende questa campagna particolarmente degna di nota è l'astuta mossa degli aggressori: hanno patchato le stesse vulnerabilità che avevano utilizzato per entrare. Garrett Calpouzos , Principal Security Researcher di Sonatype, ha osservato nel suo commento condiviso con Hackread.com che questa è "una tattica che stiamo osservando sempre più frequentemente tra gli autori di minacce avanzate". Risolvendo la falla dopo il loro ingresso, i phacker di Houken hanno impedito ad altri gruppi di hacker di utilizzare gli stessi punti deboli, aiutandoli a rimanere nascosti più a lungo. Ciò suggerisce il desiderio di un accesso continuo e non rilevato ai loro obiettivi.

Calpouzos ha sottolineato l'importanza di proteggere i sistemi connessi a Internet, soprattutto in presenza di "vulnerabilità all'esecuzione di codice remoto (RCE)". Ha inoltre sottolineato che questi incidenti evidenziano "rischi unici a cui vanno incontro obiettivi di alto valore come le agenzie governative, che spesso faticano ad agire rapidamente a causa di ostacoli burocratici".

Il gruppo Houken rimane attivo e gli esperti prevedono che continuerà a prendere di mira i dispositivi esposti a Internet in tutto il mondo.