Chinese Houken-hackers breken Franse systemen in met Ivanti Zero Days

In een rapport dat op 1 juli 2025 door ANSSI werd gepubliceerd, meldde het Franse agentschap voor cyberveiligheid dat een zeer bekwame cybercrimegroep, genaamd Houken, een geavanceerde aanvalscampagne heeft uitgevoerd waarbij misbruik werd gemaakt van meerdere zero-day-kwetsbaarheden ( CVE-2024-8190, CVE-2024-8963 en CVE-2024-9380 ) in Ivanti Cloud Service Appliance (CSA)-apparaten.

Deze groep, waarvan wordt aangenomen dat ze banden heeft met de Chinese dreigingsactor UNC5174, infiltreerde belangrijke doelwitten in heel Frankrijk. De getroffen sectoren waren onder meer overheidsinstanties, defensieorganisaties, telecomaanbieders, financiële instellingen, media en transportnetwerken.

De aanvallen werden voor het eerst waargenomen in september 2024 en waren gericht op Franse entiteiten die toegang tot hun netwerken wilden. Deze zero-day-kwetsbaarheden , die onbekend waren bij Ivanti en het publiek totdat ze werden uitgebuit, stelden de aanvallers in staat om op afstand code uit te voeren op kwetsbare apparaten.

Uit onderzoek van ANSSI is gebleken dat deze groep gebruikmaakt van complexe hulpmiddelen, zoals een gespecialiseerde rootkit, met name een kernelmodule met de naam sysinitd.ko en een uitvoerbaar gebruikersbestand met de naam sysinitd. Daarnaast vertrouwen ze ook op veel opensourcehulpmiddelen, die vaak door Chineestalige ontwikkelaars zijn ontwikkeld.

Nadat ze in eerste instantie toegang hadden verkregen via Ivanti CSA- apparaten, voerden Houken-hackers ook verkenningen uit en verplaatsten ze zich lateraal binnen de netwerken van de slachtoffers. Ze wisten zelfs andere apparaten, zoals de F5 BIG-IP, te compromitteren.

ANSSI vermoedt dat Houken-hackers fungeren als een soort 'first access broker'. Dit betekent dat ze toegang krijgen tot gevoelige systemen, mogelijk om toegang te verkopen aan andere groepen die geïnteresseerd zijn in diepgaandere spionageactiviteiten.

Hoewel hun hoofddoel lijkt te zijn het verkopen van toegang tot inlichtingen, zag ANSSI ook een geval van gegevensdiefstal en pogingen om cryptovaluta-miners te installeren. Dit suggereert dat ze soms op zoek zijn naar direct financieel gewin.

De Houken-groep heeft een breed scala aan doelwitten buiten Frankrijk, waaronder organisaties in Zuidoost-Azië en westerse landen. Hun activiteiten, inclusief het observeren van hun operationele uren, zijn afgestemd op de Chinese standaardtijd (UTC+8). Om hun activiteiten te verbergen, maakte de groep gebruik van een diverse aanvalsinfrastructuur, waaronder commerciële VPN-diensten, dedicated servers en zelfs IP-adressen voor thuis of mobiel.

De banden tussen Houken en UNC5174, een groep die eerder door Mandiant werd beschreven, zijn sterk omdat beide groepen vergelijkbaar gedrag vertonen, zoals het aanmaken van specifieke gebruikersaccounts en, met name, het patchen van kwetsbaarheden nadat deze zijn misbruikt.

Wat deze campagne bijzonder opmerkelijk maakt, is de sluwe zet van de aanvallers: ze repareerden juist de kwetsbaarheden die ze gebruikten om binnen te dringen. Garrett Calpouzos , Principal Security Researcher bij Sonatype, merkte in zijn reactie op Hackread.com op dat dit "een tactiek is die we steeds vaker zien bij geavanceerde dreigingsactoren." Door de kwetsbaarheid na hun intrede te verhelpen, voorkwamen de Houken-hackers dat andere hackers dezelfde zwakke plekken gebruikten, waardoor ze langer verborgen konden blijven. Dit wijst op een verlangen naar voortdurende, onopgemerkte toegang tot hun doelwitten .

Calpouzos benadrukte het belang van het beveiligen van internetgebaseerde systemen, met name met kwetsbaarheden voor " remote code execution (RCE)". Hij benadrukte ook dat deze incidenten de "unieke risico's benadrukken waarmee waardevolle doelwitten zoals overheidsinstanties worden geconfronteerd, die vaak moeite hebben om snel te handelen vanwege bureaucratische obstakels."

De Houken-groep is nog steeds actief en experts verwachten dat ze zich wereldwijd zullen blijven richten op apparaten die blootgesteld zijn aan het internet.