Une opération cyber discrète visant les secteurs stratégiques français
En septembre 2024, l’ANSSI a détecté une cyberattaque sophistiquée exploitant des vulnérabilités zero-day dans les équipements Ivanti Cloud Services Appliance (CSA). Le groupe responsable, lié à la Chine et identifié sous le nom de code Houken, a ciblé plusieurs secteurs sensibles : gouvernement, télécommunications, médias, finance et transport.
La campagne n’était pas isolée. Elle reprenait les techniques du groupe UNC5174 (aussi connu sous le nom d’Uteus ou Uetus), suivi par Google Mandiant. Ces groupes sont connus pour exploiter des zero-days, utiliser des outils open-source et des malwares furtifs afin de pénétrer stratégiquement les systèmes.
Failles transformées en armes : CVE-2024-8963, CVE-2024-9380, CVE-2024-8190
Les hackeurs ont exploité trois failles critiques d’Ivanti CSA avant leur divulgation publique. Objectifs : obtenir des identifiants, maintenir l’accès et approfondir l’infiltration. Méthodes utilisées :
-
Déploiement direct de web shells PHP
-
Injection de code malveillant dans des scripts PHP existants
-
Installation d’un rootkit personnalisé via des modules noyau
Des outils publics comme Behinder et neo-reGeorg ont facilité les mouvements latéraux. La persistance a été assurée par des malwares tels que GOREVERSE (shell personnalisé) et GOHEAVY (outil de tunneling en Go). Un module noyau nommé sysinitd.ko maintenait l’accès root, avec un script install.sh redirigeant le trafic TCP et permettant l’exécution de commandes à distance.
Un modèle de menace structuré : brokers d’accès initial et logiques étatiques
Le niveau de sophistication laisse penser à l’implication d’un broker d’accès initial, actif potentiellement depuis 2023. Un acteur découvre la faille, un autre l’exploite, un troisième revend l’accès. HarfangLab a résumé ce modèle en trois temps.
UNC5174 avait déjà ciblé SAP NetWeaver, Palo Alto Networks, ScreenConnect ou F5 BIG-IP. Objectifs : renseignement et parfois gains financiers, comme l’usage de crypto-miners observé après l’accès.
Cibles mondiales, portée géopolitique
Outre la France, les attaques ont touché :
-
Gouvernements et établissements éducatifs en Asie du Sud-Est
-
ONG en Chine continentale, à Hong Kong et à Macao
-
Médias occidentaux, télécoms et défense
Ces cibles variées montrent que les auteurs ne suivent pas uniquement des mandats étatiques. L’alliance d’espionnage et de cybercriminalité financière illustre la complexité croissante des menaces actuelles.
Corriger les failles pour verrouiller les accès : une tactique révélatrice
Fait surprenant : les assaillants ont eux-mêmes corrigé les failles Ivanti une fois l’accès obtenu. Objectif ? Éviter les intrusions concurrentes. Un signe d’un écosystème cybercriminel compétitif.
Houken et UNC5174 sont-ils le même acteur ?
Les similarités dans les outils et les cibles suggèrent une origine commune. Toutefois, l’attribution reste floue. ANSSI évoque des contractants privés alignés avec des intérêts étatiques, mais motivés aussi par le profit via la revente d’accès ou de données.
Comment protéger votre organisation
Cet incident rappelle l’urgence de corriger rapidement, de surveiller les mouvements latéraux et d’adopter des outils de détection comportementale. La cybersécurité moderne exige une Threat Intelligence en temps réel, une détection de rootkits et une analyse poussée du trafic réseau.
Si votre organisation gère des systèmes critiques ou des données sensibles, optez pour des services avancés de cybersécurité. ZENDATA propose des solutions sur mesure pour détecter la persistance, analyser les chaînes d’intrusion et renforcer vos défenses avant qu’il ne soit trop tard.
Lisez l’article complet sur The Hacker News ici.
