La Agencia Nacional de Ciberseguridad de Francia, ANSSI, ha identificado una nueva campaña de intrusión cibernética dirigida a organizaciones francesas en varios sectores. La campaña se detectó en septiembre de 2024, pero podría haberse fecha 2023. Apodado Houken, el conjunto de intrusos es moderadamente sofisticado e involucra exploits de día cero, herramientas de código abierto de origen probable chino, un servidor sofisticado de raíz y un infraestructura de ataque que comprende la red privada comercial (VPN) soluciones de comandos dedicados (c2) servidores (c2) de ataque. En un informe publicado por el Equipo de Respuesta a Emergencias de la Computación de ANSSI (CERT-Fr) el 1 de julio de 2025, la agencia evaluó que el conjunto de intrusiones de Houken es operado por el mismo actor de amenazas que el conjunto de intrusiones descrito anteriormente por Google Amenazing Intelligence Group (GTIG) como UNC5174, que se cree que es un corredor de acceso inicial para el ministerio de China de la Seguridad del Estado (MSS). En esta campaña recientemente identificada, ANSSI estimó que el actor de amenaza probablemente usa a Houken para obtener acceso inicial a una red para venderla a un actor vinculado al estado que busca inteligencia. Read more: Chinese State Hackers Exploiting Newly Disclosed Ivanti Flaw ANSSI’s Assessment of the Ivanti Exploits At the beginning of September 2024, an attacker repeatedly exploited CVE-2024-8190, CVE-2024-8963 and CVE-2024-9380, three high to critical zero-day vulnerabilities affecting Ivanti Cloud Service Appliance (CSA), to remotely Ejecutar código arbitrario en dispositivos vulnerables. El actor encadenó las tres exploits para obtener credenciales a través de la ejecución de un script de Python codificado Base64 y aseguró la persistencia al implementar o crear WebShells PHP, modificando los scripts PHP existentes para agregar capacidades de WebShells y ocasionalmente instalando un módulo de kernel que actúa como una raíz una vez cargada. Estas vulnerabilidades fueron parcheadas el 10 de septiembre, 15 de septiembre y 8 de octubre, respectivamente. Además, el atacante intentó que se autocompensara los recursos web afectados por las vulnerabilidades, que probablemente evitaran la explotación de actores adicionales no relacionados, según ANSSI. «En ocasiones, y después de establecer un punto de apoyo en las redes de víctimas a través del compromiso de los dispositivos Ivanti CSA, el atacante realizó actividades de reconocimiento y se movió lateralmente», dijo Anssi. En tres casos, el compromiso de los dispositivos Ivanti CSA fue seguido por movimientos laterales hacia los sistemas de información interna de las víctimas. Estos ataques duraron al menos hasta noviembre de 2024 y afectaron a las organizaciones francesas en sectores gubernamental, de telecomunicaciones, medios de comunicación, finanzas y de transporte. «ANSSI brindó un apoyo significativo a estas entidades, ayudando en la realización del análisis forense y las acciones correctivas con respecto a estos incidentes», dijo el informe. La zona horaria de las actividades operativas del atacante fue UTC+8, que se alinea con el tiempo estándar de China (CST). La intrusión Houken establecida en el enfoque de la infraestructura de ataque del conjunto de intrusiones de Houken estaba compuesto por diversos elementos, incluidas las direcciones IP de: servicios de anonimización populares y accesibles públicos, como ExpressVPN, NORDVPN, VPN de protones e Surfshark dedicados, servidores privados principalmente virtuales (VPS) alojados por Hosthatch, colocsss. (ISPs), such as Comcast, China Unicom, China Telecom and Airtel Additionally, the Houken toolset in the campaigns starting in September 2024 included: Many open-source tools available on GitHub, including webshells, mostly crafted by Chinese-speaking developers (eg Neo-reGeorg) Handcrafted webshells A Linux kernel module and a user-space binary acting as a rootkit According to CERT-FR Investigadores, el actor de amenaza mostró una mezcla de tácticas no sofisticadas y avanzadas. Mientras que algunas de sus acciones, como las operaciones ruidosas y el uso de herramientas ofensivas genéricas, sugirieron recursos limitados para el desarrollo de herramientas, la explotación de vulnerabilidades de día cero y la implementación de RootKits indicó acceso a capacidades técnicas significativas. Esta divergencia en términos de habilidades y recursos, así como el uso de múltiples nodos comerciales de salida de VPN o la diversidad de servidores dedicados, puede reflejar un enfoque de actores múltiples, como lo describe el equipo de investigación de amenazas cibernéticas de Harfanglab en un informe de febrero de 2025 sobre la misma campaña de explotación de vulnerabilidades IVanti. Aside from its targets in France, the ANSSI report noted that the threat actor behind Houken has an extensive targeting range, with the following priorities: Entities located near China, especially in Southeast Asia (eg, Thailand, Vietnam, Indonesia) and with a specific focus on governmental and education sectors NGOs inside and outside China, including Hong Kong and Macao Entities based in Western countries associated with governmental, defence, education, media or sectores de telecomunicaciones