Агентство национальной безопасности информационных систем Франции (ANSSI) выявило злонамеренную кампанию против ключевых секторов страны. Целями стали правительственные учреждения, телекоммуникации, СМИ, финансы и транспорт. Атака началась в сентябре 2024 года, а о ней публично объявили во вторник, в начале 2025 года.
Виновниками ANSSI назвало китайскую хакерскую группу, использующую кодовое имя Houken. Группа применила неизвестные ранее уязвимости (zero-day) для атаки на устройства Ivanti Cloud Services Appliance (CSA). Это обеспечило им первоначальный доступ к системам.
Анализ ANSSI, проведенный еще в феврале, раскрыл их бизнес-модель: «Первые лица» находят уязвимости, «вторые» массово их эксплуатируют для получения доступа, а «третьи стороны» развивают атаки на конкретные цели. Основная цель Houken, по мнению ANSSI, – получение ценного доступа для последующей продажи государственным структурам, заинтересованным в разведданных.
Группа Houken тесно связана с известным кластером UNC5174 (также именуемым Uteus или Uetus), за которым следит Google Mandiant. Тактика групп схожа: использование zero-day, сложный руткит, множество инструментов с открытым исходным кодом (часто созданных китайскоязычными разработчиками). Их инфраструктура включает коммерческие VPN и выделенные серверы.
Активность UNC5174 не ограничилась Францией. Группа недавно эксплуатировала уязвимости в SAP NetWeaver, доставляя полезную нагрузку GOREVERSE (вариант GoReShell). Ранее они атаковали ПО Palo Alto Networks, Connectwise ScreenConnect и F5 BIG-IP, распространяя вредоносное ПО SNOWLIGHT. SNOWLIGHT, в свою очередь, использовался для внедрения GOHEAVY – туннелирующей утилиты на Golang. В конце сентября 2024 года, как сообщил SentinelOne, они также вторглись в систему «ведущей европейской медиаорганизации».
Ключевым инструментом в арсенале Houken/UNC5174 является сложный руткит sysinitd.ko. По данным Fortinet (октябрь 2024, январь 2025), он состоит из модуля ядра Linux (
Атакующие проводят тщательную разведку. Их операционная активность соответствует часовому поясу UTC+8 (Пекинское время). Примечательная тактика – попытки закрыть использованные уязвимости, вероятно, чтобы исключить конкуренцию.
Подозреваемые цели группы обширны: правительственные и образовательные учреждения Юго-Восточной Азии; неправительственные организации (НПО) в Китае, включая Гонконг и Макао; а также госсектор, оборона, образование, медиа и телекоммуникации Запада. Сходство методов Houken и UNC5174 указывает на возможного общего оператора.
Доказательства финансовой мотивации появились в одном инциденте, где злоумышленники использовали полученный доступ для развертывания криптовалютных майнеров. ANSSI оценивает, что стоящий за Houken/UNC5174 исполнитель – скорее всего, частная компания. Она продает доступ и данные множеству государственных структур, параллельно преследуя собственные финансовые интересы.
Изображение носит иллюстративный характер
Виновниками ANSSI назвало китайскую хакерскую группу, использующую кодовое имя Houken. Группа применила неизвестные ранее уязвимости (zero-day) для атаки на устройства Ivanti Cloud Services Appliance (CSA). Это обеспечило им первоначальный доступ к системам.
Анализ ANSSI, проведенный еще в феврале, раскрыл их бизнес-модель: «Первые лица» находят уязвимости, «вторые» массово их эксплуатируют для получения доступа, а «третьи стороны» развивают атаки на конкретные цели. Основная цель Houken, по мнению ANSSI, – получение ценного доступа для последующей продажи государственным структурам, заинтересованным в разведданных.
Группа Houken тесно связана с известным кластером UNC5174 (также именуемым Uteus или Uetus), за которым следит Google Mandiant. Тактика групп схожа: использование zero-day, сложный руткит, множество инструментов с открытым исходным кодом (часто созданных китайскоязычными разработчиками). Их инфраструктура включает коммерческие VPN и выделенные серверы.
Активность UNC5174 не ограничилась Францией. Группа недавно эксплуатировала уязвимости в SAP NetWeaver, доставляя полезную нагрузку GOREVERSE (вариант GoReShell). Ранее они атаковали ПО Palo Alto Networks, Connectwise ScreenConnect и F5 BIG-IP, распространяя вредоносное ПО SNOWLIGHT. SNOWLIGHT, в свою очередь, использовался для внедрения GOHEAVY – туннелирующей утилиты на Golang. В конце сентября 2024 года, как сообщил SentinelOne, они также вторглись в систему «ведущей европейской медиаорганизации».
Ключевым инструментом в арсенале Houken/UNC5174 является сложный руткит sysinitd.ko. По данным Fortinet (октябрь 2024, январь 2025), он состоит из модуля ядра Linux (
sysinitd.ko) и исполняемого файла пользовательского пространства (sysinitd). Устанавливается скриптом install.sh. Его опасность в абсолютном контроле: руткит перехватывает весь входящий TCP-трафик на любых портах, позволяет запускать оболочки и выполнять любые команды с привилегиями root удаленно. Атакующие проводят тщательную разведку. Их операционная активность соответствует часовому поясу UTC+8 (Пекинское время). Примечательная тактика – попытки закрыть использованные уязвимости, вероятно, чтобы исключить конкуренцию.
Подозреваемые цели группы обширны: правительственные и образовательные учреждения Юго-Восточной Азии; неправительственные организации (НПО) в Китае, включая Гонконг и Макао; а также госсектор, оборона, образование, медиа и телекоммуникации Запада. Сходство методов Houken и UNC5174 указывает на возможного общего оператора.
Доказательства финансовой мотивации появились в одном инциденте, где злоумышленники использовали полученный доступ для развертывания криптовалютных майнеров. ANSSI оценивает, что стоящий за Houken/UNC5174 исполнитель – скорее всего, частная компания. Она продает доступ и данные множеству государственных структур, параллельно преследуя собственные финансовые интересы.
