Redazione RHC : 5 Luglio 2025 16:15
L’agenzia francese per la sicurezza informatica ha annunciato un grave attacco che ha colpito settori chiave del Paese. Agenzie governative, aziende di telecomunicazioni, media, settore finanziario e aziende di trasporto sono tutte nel mirino. Dietro la campagna dannosa, che ha sfruttato vulnerabilità precedentemente sconosciute nei dispositivi Ivanti Cloud Services Appliance (CSA), c’è un gruppo di hacker cinesi.
Gli attacchi rilevati sono iniziati a settembre 2024 e sono stati attribuiti al gruppo Houken, le cui attività, secondo gli esperti, si sovrappongono a quelle del cluster di criminali informatici UNC5174, noto anche come Uteus o Uetus, precedentemente monitorato dagli specialisti di Google Mandiant.
L’Agenzia Nazionale Francese per la Sicurezza dei Sistemi Informativi (ANSSI) riferisce che gli aggressori hanno utilizzato non solo vulnerabilità zero-day e un sofisticato rootkit, ma anche un’ampia gamma di strumenti open source sviluppati principalmente da programmatori di lingua cinese. L’infrastruttura di Houken includeva VPN commerciali e server dedicati, che gli hanno permesso di nascondere efficacemente la fonte degli attacchi.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Secondo gli esperti francesi, Houken è stato utilizzato attivamente dai cosiddetti broker di accesso iniziale dal 2023. Questi intermediari hackerano i sistemi e poi cedono l’accesso ad altri criminali informatici che continuano a sfruttare le reti compromesse. Questo approccio prevede la partecipazione di diversi gruppi contemporaneamente, ognuno dei quali svolge la propria parte dell’attacco, dall’identificazione delle vulnerabilità alla loro monetizzazione.
HarfangLab sottolinea che prima un gruppo trova una vulnerabilità , poi un altro la sfrutta su larga scala per penetrare nelle reti, dopodiché l’accesso ottenuto viene venduto alle parti interessate, il più delle volte quelle associate alle agenzie governative. Gli esperti ritengono che l’obiettivo principale dei gruppi UNC5174 e Houken sia quello di ottenere l’accesso a oggetti promettenti per poi venderli a clienti governativi interessati a informazioni di intelligence. Allo stesso tempo, i criminali non si limitano allo spionaggio informatico: in uno degli episodi è stato registrato l’utilizzo dell’accesso per installare miner di criptovalute, il che indica le motivazioni finanziarie degli aggressori.
In precedenza, UNC5174 era collegato ad attacchi ai sistemi SAP NetWeaver, in cui gli aggressori utilizzavano il malware GOREVERSE, una variante di GoReShell. Al gruppo sono inoltre attribuiti attacchi che sfruttavano vulnerabilità nei prodotti Palo Alto Networks, Connectwise ScreenConnect e F5 BIG-IP, attraverso i quali veniva distribuito il malware SNOWLIGHT. Quest’ultimo viene utilizzato per installare uno strumento di tunneling basato su Go chiamato GOHEAVY.
SentinelOne ha segnalato che lo stesso gruppo ha hackerato un’importante azienda mediatica europea nel settembre 2024. Nell’attacco alle organizzazioni francesi, i criminali hanno sfruttato tre vulnerabilità in Ivanti CSA: CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190 . Queste vulnerabilità sono state sfruttate come precedentemente sconosciute, consentendo agli aggressori di infiltrarsi nei sistemi senza essere rilevati, ottenere credenziali e introdursi nell’infrastruttura.
Per introdursi nelle reti, gli aggressori hanno utilizzato tre metodi. Hanno installato direttamente webshell PHP o modificato script PHP esistenti, aggiungendovi funzioni webshell nascoste. Inoltre, hanno utilizzato un rootkit, introdotto a livello di kernel del sistema. Gli aggressori hanno utilizzato attivamente web shell pubbliche note come Behinder e neo-reGeorg. Dopo aver preso piede, hanno utilizzato GOREVERSE per muoversi lateralmente all’interno della rete. Hanno anche utilizzato il tunnel proxy HTTP suo5 e un modulo del kernel Linux chiamato “sysinitd.ko”, precedentemente rilevato da Fortinet.
RedazioneSono state identificate diverse vulnerabilità nei prodotti Cisco Identity Services Engine (ISE) e Cisco ISE Passive Identity Connector (ISE-PIC) che potrebbero consentire a un utente malintenzion...
HackerHood, il team di hacker etici di Red Hot Cyber, ha realizzato qualcosa che raramente si vede fuori dalle conferenze più esclusive: un workshop live in cui viene mostrato, passo dopo passo, ...
Google ha rilasciato un aggiornamento di emergenza per il browser Chrome, eliminando sei vulnerabilità contemporaneamente, una delle quali è già attivamente sfruttata in attacchi reali....
L’operazione internazionale “Eastwood” rappresenta uno spartiacque nella lotta contro il cyberterrorismo. Per la prima volta, un’azione coordinata su scala mondiale ha infe...
Nell’ambito delle indagini condotte dalla Procura della Repubblica di Roma e con il coordinamento della Direzione Nazionale Antimafia e Antiterrorismo, la Polizia Postale ha portato a termine i...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
