A francia kormányt is érintette a tavalyi Ivanti kampány
A francia kiberbiztonsági ügynökség 2025. július 1-jén jelentette, hogy az ország számos kormányzati, közüzemi és magánszektorbeli szervezetét érintette egy tavalyi széleskörű kibertevékenység, amely során az Ivanti eszközök több zero day sérülékenységét használták ki. A kampány során – amely miatt az amerikai kiberbiztonsági hatóságok szeptemberben figyelmeztetést adtak ki – az Ivanti Cloud Service Appliance-t vették célba, ami a helyi hálózatokat és a felhőalapú szolgáltatásokat köti össze.
Franciaországban a kampány kormányzati, távközlési, média-, pénzügyi és közlekedési szektorbeli szervezeteket célzott meg a CVE-2024-8190, CVE-2024-8963 és CVE-2024-9380 sérülékenységek kihasználásával – áll az ANSSI jelentésében. Az intrusion set-et az ANSSI Houken név alatt követi nyomon. Az ügynökség jelentése szerint a Houken ugyanaz lehet, mint a Mandiant által korábban azonosított UNC5174. Miközben a kiberszereplő zero day sérülékenységeket használt ki és egy kifinomult rootkitet is használt, számos nyílt forráskódú eszközt is alkalmazott, amelyeket többnyire kínai fejlesztők készítettek. A Houken támadási infrastruktúrája változatos elemekből áll – többek között kereskedelmi VPN-ekből és dedikált szerverekből.
Az UNC5174 és a Houken mögött álló szereplők valószínűleg elsősorban értékes kezdeti hozzáféréseket keresnek, amelyeket eladhatnak többek között egy államilag támogatott szereplőnek. Az ANSSI azonban megfigyelt egy adatszivárgási esetet is, valamint a kriptominerek telepítése iránti érdeklődést, ami kifejezetten profitorientált célokra utal.
