Francouzská agentura pro kybernetickou bezpečnost odhalila, že řada subjektů z oblasti vlády, telekomunikací, médií, financí a dopravy ve Francii byla zasažena kampaní čínské hackerské skupiny. Ta zneužila několik zranitelností typu zero-day v zařízeních Ivanti Cloud Services Appliance (CSA).

Kampaň, detekovaná na začátku září 2024, byla připsána do souboru útoků s krycím názvem Houken, který je podle hodnocení sdílen s klastrem hrozeb sledovaným společností Google Mandiant pod označením UNC5174 (také známý jako Uteus nebo Uetus).

„Zatímco její operátoři využívají zranitelnosti typu zero-day a sofistikovaný rootkit, využívají také širokou škálu open-source nástrojů, které většinou vytvořili vývojáři hovořící čínsky,“ uvedla Francouzská národní agentura pro bezpečnost informačních systémů (ANSSI). „Infraštruktura útoků Houken je tvořena různorodými prvky – včetně komerčních VPN a dedikovaných serverů.“

Agentura teoretizovala, že Houken je pravděpodobně využíván zprostředkovatelem prvotního přístupu od roku 2023 s cílem získat vstup do cílových sítí, který je následně sdílen s dalšími aktéry hrozeb, kteří mají zájem provádět následné aktivity po exploataci, což odráží její přístup k využívání zranitelností, jak uvedla společnost HarfangLab.

„První strana identifikuje zranitelnosti, druhá je využívá v měřítku k vytvoření příležitostí a přístupy jsou poté distribuovány třetím stranám, které se dále snaží vyvinout cíle zájmu,“ poznamenala francouzská kybernetická společnost začátkem února 2025.

„Operátoři za soubory útoků UNC5174 a Houken pravděpodobně primárně hledají hodnotné prvotní přístupy k prodeji státem spojenému aktérovi, který hledá hodnotné informace,“ dodala agentura.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS