La campagne a exploité les vulnérabilités de VMware à long terme aux hôtes ESXi de détournement, de contourner les défenses et de persister à l’intérieur des cibles.
Les acteurs suspects alignés par la Chine mènent une nouvelle campagne d’espionnage «Fire Ant», active depuis le début de 2025, qui cible VMware ESXi, les serveurs vCenter et les appareils F5 pour obtenir un contrôle de niveau hyperviseur furtif.
Selon une découverte de Sygnia, la campagne a exploité des défauts critiques dans les environnements VMware pour obtenir un accès non authentifié à l’infrastructure de virtualisation et déployer des logiciels malveillants persistants comme Virtualpita et Autobackup.bin.
Selon Ev Kontsevoy, PDG de Teleport, il s’agit d’un vecteur d’attaque de l’État-nation classique. « Fire Ant a exploité les vulnérabilités des infrastructures et a utilisé des informations d’identification volées pour infiltrer les systèmes », a-t-il déclaré. «Ce n’est pas une tactique isolée. De nombreux groupes de l’État-nation adoptent maintenant la même approche en raison de son efficacité et de sa difficulté de détection.»
Alors que Sygnia s’est abstenu d’attribuer la fourmi incendie à un acteur spécifique, il a noté que les outils de la campagne, les vecteurs d’attaque axés sur VMware, les heures de travail et les modèles de clavier correspondaient étroitement aux résultats précédents sur le groupe China-Nexus UNC3886.
Accès initial via VMware Flaws
Les attaquants ont exploité CVE-2023-34048 dans VMware vCenter pour réaliser l’exécution de code distant non authentifié (RCE), puis récupéré des informations d’identification pour les comptes de service «vpxuser», que VCenter crée automatiquement pour gérer les hôtes ESXI avec des privilèges administratifs complets. Étant donné que VPXUser est exempté des restrictions en mode verrouillage, les attaquants pourraient conserver le contrôle de niveau hôte sur tous les serveurs ESXi connectés, les machines physiques exécutant l’hyperviseur ESXi, même si les connexions directes étaient désactivées.
Avec des privilèges administratifs complets maintenant, les attaquants ont planté des dérivations persistantes comme Virtualpita et Autobackup.bin, et ont désactivé le démon de journalisation du système (VMSySLogd) pour couvrir leurs pistes à travers les redémarrages.
Kontsevoy appelle cela un échec de la gestion de l’identité. «Les attaquants ont utilisé des titres de compétences volés pour créer des dérivations et imiter les actions légitimes des employés par le biais d’outils communs et de confiance», a-t-il déclaré. « En effet, une fois qu’une identité franchit une frontière technologique, son sentier est perdu. Personne ne peut voir où il va ensuite. Cet écart de visibilité permet aux délais de passer inaperçus et permet aux attaquants de réintégrer l’infrastructure non détectée. »
Les attaquants ont en outre exploité CVE-2023-20867 pour exécuter des commandes hôte-invité non authentifiées via VMware Tools / PowerCLI, accéder aux machines virtuelles invitées et extraire des informations d’identification de domaine en mémoire.
Le tunneling a permis un mouvement latéral
Une fois à l’intérieur, les fourmis incendies ont contourné la segmentation du réseau en exploitant le CVE-2022-1388 dans les appareils Big-IP F5. Cela leur a permis de déployer des tunnels cryptés tels que les shells Web Neo-Regeorg pour atteindre des environnements isolés, en tirant même sur IPv6 pour échapper aux filtres IPv4.
« L’acteur de menace a démontré une compréhension approfondie de l’architecture et des politiques du réseau de l’environnement cible, naviguant efficacement aux contrôles de segmentation pour atteindre des actifs internes et vraisemblablement isolés », a déclaré Sygnia dans un article de blog. «En compromettant l’infrastructure du réseau et la tunneling par le biais de systèmes de confiance, l’acteur de menace a systématiquement contourné les limites de segmentation, atteint des réseaux isolés et établi la persistance des segments croisés.»
Les attaquants ont constamment adapté leurs techniques, telles que la modification des outils, le déguisement des fichiers et le déploiement de la bourse de persistance redondante, pour échapper à la détection et à retrouver l’accès après le nettoyage.
Sygnia a conseillé aux organisations de corriger les composants VMware vulnérables, de faire tourner les informations d’identification du compte de service sécurisé et d’appliquer le mode de verrouillage ESXi pour restreindre l’accès de l’hôte. Il recommande également d’utiliser des hôtes de saut d’administration dédiés, de segmenter les réseaux de gestion et de développer une surveillance pour inclure le vCenter, l’ESXi et les appareils qui manquent souvent de visibilité traditionnelle.
« La seule façon d’empêcher les pirates d’État-nation et d’autres criminels d’accéder facilement aux infrastructures est d’unifier l’identité », a ajouté Kontsevoy. «En unifiant toutes les identités – qu’elles soient humaines, logicielles, matériel ou IA – les entreprises peuvent acquérir une seule source de vérité et une visibilité complète sur la façon dont les identités entrent et se déplacent dans leurs systèmes.»
