Una pioggia di 0day e di rootkit colpiscono la Francia E’ opera degli hacker cinesi

Redazione RHC : 5 Luglio 2025 16:15

L’agenzia francese per la sicurezza informatica ha annunciato un grave attacco che ha colpito settori chiave del Paese. Agenzie governative, aziende di telecomunicazioni, media, settore finanziario e aziende di trasporto sono tutte nel mirino. Dietro la campagna dannosa, che ha sfruttato vulnerabilità precedentemente sconosciute nei dispositivi Ivanti Cloud Services Appliance (CSA), c’è un gruppo di hacker cinesi.

Gli attacchi rilevati sono iniziati a settembre 2024 e sono stati attribuiti al gruppo Houken, le cui attività, secondo gli esperti, si sovrappongono a quelle del cluster di criminali informatici UNC5174, noto anche come Uteus o Uetus, precedentemente monitorato dagli specialisti di Google Mandiant.

L’Agenzia Nazionale Francese per la Sicurezza dei Sistemi Informativi (ANSSI) riferisce che gli aggressori hanno utilizzato non solo vulnerabilità zero-day e un sofisticato rootkit, ma anche un’ampia gamma di strumenti open source sviluppati principalmente da programmatori di lingua cinese. L’infrastruttura di Houken includeva VPN commerciali e server dedicati, che gli hanno permesso di nascondere efficacemente la fonte degli attacchi.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo gli esperti francesi, Houken è stato utilizzato attivamente dai cosiddetti broker di accesso iniziale dal 2023. Questi intermediari hackerano i sistemi e poi cedono l’accesso ad altri criminali informatici che continuano a sfruttare le reti compromesse. Questo approccio prevede la partecipazione di diversi gruppi contemporaneamente, ognuno dei quali svolge la propria parte dell’attacco, dall’identificazione delle vulnerabilità alla loro monetizzazione.

HarfangLab sottolinea che prima un gruppo trova una vulnerabilità , poi un altro la sfrutta su larga scala per penetrare nelle reti, dopodiché l’accesso ottenuto viene venduto alle parti interessate, il più delle volte quelle associate alle agenzie governative. Gli esperti ritengono che l’obiettivo principale dei gruppi UNC5174 e Houken sia quello di ottenere l’accesso a oggetti promettenti per poi venderli a clienti governativi interessati a informazioni di intelligence. Allo stesso tempo, i criminali non si limitano allo spionaggio informatico: in uno degli episodi è stato registrato l’utilizzo dell’accesso per installare miner di criptovalute, il che indica le motivazioni finanziarie degli aggressori.

In precedenza, UNC5174 era collegato ad attacchi ai sistemi SAP NetWeaver, in cui gli aggressori utilizzavano il malware GOREVERSE, una variante di GoReShell. Al gruppo sono inoltre attribuiti attacchi che sfruttavano vulnerabilità nei prodotti Palo Alto Networks, Connectwise ScreenConnect e F5 BIG-IP, attraverso i quali veniva distribuito il malware SNOWLIGHT. Quest’ultimo viene utilizzato per installare uno strumento di tunneling basato su Go chiamato GOHEAVY.

SentinelOne ha segnalato che lo stesso gruppo ha hackerato un’importante azienda mediatica europea nel settembre 2024. Nell’attacco alle organizzazioni francesi, i criminali hanno sfruttato tre vulnerabilità in Ivanti CSA: CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190 . Queste vulnerabilità sono state sfruttate come precedentemente sconosciute, consentendo agli aggressori di infiltrarsi nei sistemi senza essere rilevati, ottenere credenziali e introdursi nell’infrastruttura.

Per introdursi nelle reti, gli aggressori hanno utilizzato tre metodi. Hanno installato direttamente webshell PHP o modificato script PHP esistenti, aggiungendovi funzioni webshell nascoste. Inoltre, hanno utilizzato un rootkit, introdotto a livello di kernel del sistema. Gli aggressori hanno utilizzato attivamente web shell pubbliche note come Behinder e neo-reGeorg. Dopo aver preso piede, hanno utilizzato GOREVERSE per muoversi lateralmente all’interno della rete. Hanno anche utilizzato il tunnel proxy HTTP suo5 e un modulo del kernel Linux chiamato “sysinitd.ko”, precedentemente rilevato da Fortinet.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli