Hackers de Houken ligados à China violam sistemas franceses com Ivanti Zero Days

Em um relatório publicado pela ANSSI em 1º de julho de 2025, a agência francesa de segurança cibernética revelou que um grupo de crimes cibernéticos altamente qualificados, chamado Houken, realizou uma campanha de ataque sofisticada explorando várias vulnerabilidades de dia zero ( CVE-2024-8190, CVE-2024-8963 e CVE-2024-9380 ) em dispositivos Ivanti Cloud Service Appliance (CSA).

Acredita-se que esse grupo esteja ligado ao agente de ameaças chinês UNC5174, que se infiltrou em alvos de alto valor em toda a França. Os setores afetados incluíam órgãos governamentais, organizações de defesa, provedores de telecomunicações, instituições financeiras, veículos de comunicação e redes de transporte.

Os ataques foram observados pela primeira vez em setembro de 2024, visando entidades francesas que buscavam acesso inicial às suas redes. Essas vulnerabilidades de dia zero , ou seja, desconhecidas da Ivanti e do público até serem exploradas, permitiram que os invasores executassem códigos remotamente em dispositivos vulneráveis.

A investigação da ANSSI revelou que esse grupo usa ferramentas complexas como um rootkit especializado, especificamente um módulo de kernel chamado sysinitd.ko e um executável de espaço de usuário sysinitd, mas também depende de muitas ferramentas de código aberto, geralmente criadas por desenvolvedores de língua chinesa.

Depois de obter acesso inicial por meio de dispositivos Ivanti CSA , os hackers do Houken também realizaram reconhecimento e se moveram lateralmente dentro das redes das vítimas, comprometendo até mesmo outros dispositivos, como o F5 BIG-IP.

A ANSSI suspeita que os hackers do Houken atuem como intermediários de acesso inicial. Isso significa que eles se infiltram em sistemas sensíveis, possivelmente para vender acesso a outros grupos interessados ​​em atividades de espionagem mais profundas.

Embora seu objetivo principal pareça ser vender acesso a informações, a ANSSI também registrou um caso de roubo de dados e tentativas de instalar mineradores de criptomoedas, sugerindo que eles às vezes buscam ganho financeiro direto.

O grupo Houken tem uma ampla gama de alvos além da França, incluindo organizações no Sudeste Asiático e em países ocidentais. Suas atividades, incluindo a observação de seus horários de operação, estão alinhadas com o Horário Padrão da China (UTC+8). Para ocultar suas operações, o grupo utilizou uma infraestrutura de ataque diversificada, incluindo serviços VPN comerciais, servidores dedicados e até mesmo endereços IP residenciais ou móveis.

Os vínculos entre Houken e UNC5174, um grupo descrito anteriormente pela Mandiant, são fortes, pois ambos os grupos exibem comportamentos semelhantes, como criar contas de usuário específicas e, principalmente, corrigir vulnerabilidades após exploração.

O que torna esta campanha particularmente notável é a astúcia dos invasores: eles corrigiram as mesmas vulnerabilidades que usaram para invadir. Garrett Calpouzos , Pesquisador Principal de Segurança da Sonatype, observou em seu comentário compartilhado com o Hackread.com que esta é "uma tática que estamos vendo com mais frequência entre agentes de ameaças avançadas". Ao corrigir a falha após sua entrada, os phackers de Houken impediram que outros grupos de hackers usassem os mesmos pontos fracos, ajudando-os a permanecer ocultos por mais tempo. Isso sugere um desejo por acesso contínuo e não detectado aos seus alvos.

Calpouzos enfatizou a importância de proteger os sistemas voltados para a internet, especialmente com “vulnerabilidades de execução remota de código (RCE)”. Ele também destacou que esses incidentes ressaltam “riscos únicos enfrentados por alvos de alto valor, como agências governamentais, que muitas vezes têm dificuldade para agir rapidamente devido a obstáculos burocráticos”.

O grupo Houken continua ativo, e especialistas esperam que eles continuem atacando dispositivos expostos à internet no mundo todo.