Gli hacker stanno sfruttando VMware ESXi con un toolkit di exploit zero-day

Un gruppo di pirati informatici sta utilizzando un toolkit di exploit zero-day per compromettere istanze VMware ESXi in modalità non controllata, approfittando di multiple vulnerabilità per superare le restrizioni delle macchine virtuali.

L’attuale incidente sottolinea le continue minacce per l’hypervisor, poiché gli aggressori privilegiano la furtività attraverso il ripristino dei driver e la rimozione della configurazione a seguito dell’attacco. Di fronte all’incremento dei ransomware che mirano a ESXi, è fondamentale che le organizzazioni rafforzino in maniera decisa la sicurezza della virtualizzazione.

L’isolamento delle VM non funziona a causa delle falle dell’hypervisor; applicare patch urgenti a ESXi, poiché le versioni a fine vita non dispongono di correzioni. Monitorare gli host ESXi con “lsof -a” per i processi VSOCK, prestare attenzione ai loader BYOD come KDU e proteggere le VPN. Modifiche al firewall e driver non firmati segnalano la compromissione; le backdoor VSOCK eludono gli IDS.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli autori della minaccia hanno ottenuto un punto d’appoggio tramite SonicWall VPN, quindi hanno utilizzato un account di amministratore di dominio compromesso per lo spostamento laterale verso i controller di dominio di backup e primari.

Gli esperti di sicurezza di Huntress sono riusciti a fermare uno di questi attacchi e hanno riscontrato che l’accesso iniziale era stato ottenuto attraverso una VPN SonicWall che era stata compromessa.

Circa 20 minuti dopo l’implementazione del toolkit, hanno eseguito l‘exploit ESXi, che Huntress ha bloccato prima dell’implementazione del ransomware.

Il toolkit, denominato MAESTRO da Huntress, orchestra la disabilitazione dei driver VMware VMCI con devcon.exe, caricando un driver non firmato tramite KDU per bypassare Driver Signature Enforcement ed eseguendo il core escape.

Sul DC primario, hanno implementato strumenti di ricognizione come Advanced Port Scanner e ShareFinder, hanno organizzato i dati con WinRAR e hanno modificato le regole del firewall di Windows per bloccare il traffico esterno in uscita, consentendo al contempo il movimento laterale interno.

MyDriver.sys interroga la versione di ESXi tramite VMware Guest SDK, seleziona gli offset da una tabella che supporta 155 build su ESXi dalla 5.1 alla 8.0, diffonde la base VMX tramite HGFS (CVE-2025-22226), danneggia la memoria tramite VMCI (CVE-2025-22224) e distribuisce lo shellcode per l’escape sandbox (CVE-2025-22225).

Le fasi di shellcode distribuiscono VSOCKpuppet, una backdoor che dirotta l’inetd di ESXi sulla porta 21 per l’esecuzione root, utilizzando VSOCK per una comunicazione furtiva guest-host invisibile agli strumenti di rete.

I percorsi PDB rivelano lo sviluppo in ambienti in cinese semplificato, come “全版本逃逸-交付” (Tutte le versioni escape-delivery), datato febbraio 2024, oltre un anno prima della divulgazione VMSA-2025-0004 di Broadcom del 4 marzo 2025.

Un file PDB client.exe di novembre 2023 suggerisce strumenti modulari, con driver VMware manomessi che fanno riferimento a “XLab”. Huntress ha un’elevata affidabilità nell’origine cinese, grazie alle risorse e all’accesso zero-day.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.