Gli hacker stanno sfruttando VMware ESXi con un toolkit di exploit zero-day

Un gruppo di pirati informatici sta utilizzando un toolkit di exploit zero-day per compromettere istanze VMware ESXi in modalità non controllata, approfittando di multiple vulnerabilità per superare le restrizioni delle macchine virtuali.

L’attuale incidente sottolinea le continue minacce per l’hypervisor, poiché gli aggressori privilegiano la furtività attraverso il ripristino dei driver e la rimozione della configurazione a seguito dell’attacco. Di fronte all’incremento dei ransomware che mirano a ESXi, è fondamentale che le organizzazioni rafforzino in maniera decisa la sicurezza della virtualizzazione.

L’isolamento delle VM non funziona a causa delle falle dell’hypervisor; applicare patch urgenti a ESXi, poiché le versioni a fine vita non dispongono di correzioni. Monitorare gli host ESXi con “lsof -a” per i processi VSOCK, prestare attenzione ai loader BYOD come KDU e proteggere le VPN. Modifiche al firewall e driver non firmati segnalano la compromissione; le backdoor VSOCK eludono gli IDS.

Gli autori della minaccia hanno ottenuto un punto d’appoggio tramite SonicWall VPN, quindi hanno utilizzato un account di amministratore di dominio compromesso per lo spostamento laterale verso i controller di dominio di backup e primari.

Gli esperti di sicurezza di Huntress sono riusciti a fermare uno di questi attacchi e hanno riscontrato che l’accesso iniziale era stato ottenuto attraverso una VPN SonicWall che era stata compromessa.

Circa 20 minuti dopo l’implementazione del toolkit, hanno eseguito l‘exploit ESXi, che Huntress ha bloccato prima dell’implementazione del ransomware.

Il toolkit, denominato MAESTRO da Huntress, orchestra la disabilitazione dei driver VMware VMCI con devcon.exe, caricando un driver non firmato tramite KDU per bypassare Driver Signature Enforcement ed eseguendo il core escape.

Sul DC primario, hanno implementato strumenti di ricognizione come Advanced Port Scanner e ShareFinder, hanno organizzato i dati con WinRAR e hanno modificato le regole del firewall di Windows per bloccare il traffico esterno in uscita, consentendo al contempo il movimento laterale interno.

MyDriver.sys interroga la versione di ESXi tramite VMware Guest SDK, seleziona gli offset da una tabella che supporta 155 build su ESXi dalla 5.1 alla 8.0, diffonde la base VMX tramite HGFS (CVE-2025-22226), danneggia la memoria tramite VMCI (CVE-2025-22224) e distribuisce lo shellcode per l’escape sandbox (CVE-2025-22225).

Le fasi di shellcode distribuiscono VSOCKpuppet, una backdoor che dirotta l’inetd di ESXi sulla porta 21 per l’esecuzione root, utilizzando VSOCK per una comunicazione furtiva guest-host invisibile agli strumenti di rete.

I percorsi PDB rivelano lo sviluppo in ambienti in cinese semplificato, come “全版本逃逸-交付” (Tutte le versioni escape-delivery), datato febbraio 2024, oltre un anno prima della divulgazione VMSA-2025-0004 di Broadcom del 4 marzo 2025.

Un file PDB client.exe di novembre 2023 suggerisce strumenti modulari, con driver VMware manomessi che fanno riferimento a “XLab”. Huntress ha un’elevata affidabilità nell’origine cinese, grazie alle risorse e all’accesso zero-day.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Silvia Felici

Red Hot Cyber Security Advisor, Open Source e Supply Chain Network. Attualmente presso FiberCop S.p.A. in qualità di Network Operations Specialist, coniuga la gestione operativa di infrastrutture di rete critiche con l'analisi strategica della sicurezza digitale e dei flussi informativi.

Aree di competenza: Network Operations, Open Source, Supply Chain Security, Innovazione Tecnologica, Sistemi Operativi.

Visita il sito web dell'autore