Mit China in Verbindung stehende Houken-Hacker dringen mit Ivanti Zero Days in französische Systeme ein

In einem am 1. Juli 2025 von der ANSSI veröffentlichten Bericht enthüllte die französische Cybersicherheitsbehörde, dass eine hochqualifizierte Cybercrime-Gruppe namens Houken eine ausgeklügelte Angriffskampagne durchgeführt hat, bei der sie mehrere Zero-Day-Schwachstellen ( CVE-2024-8190, CVE-2024-8963 und CVE-2024-9380 ) in Ivanti Cloud Service Appliance (CSA)-Geräten ausnutzte.

Diese Gruppe, die vermutlich mit dem chinesischen Bedrohungsakteur UNC5174 in Verbindung steht, infiltrierte hochrangige Ziele in ganz Frankreich. Zu den betroffenen Sektoren gehörten Regierungsstellen, Verteidigungsorganisationen, Telekommunikationsanbieter, Finanzinstitute, Medienunternehmen und Verkehrsnetze.

Die Angriffe wurden erstmals im September 2024 beobachtet und zielten auf französische Unternehmen ab, die sich Zugang zu deren Netzwerken verschaffen wollten. Diese Zero-Day-Schwachstellen , die Ivanti und der Öffentlichkeit bis zu ihrer Ausnutzung unbekannt waren, ermöglichten es den Angreifern, Code auf anfälligen Geräten aus der Ferne auszuführen.

Die Untersuchung von ANSSI ergab, dass diese Gruppe komplexe Tools wie ein spezielles Rootkit verwendet, insbesondere ein Kernelmodul namens sysinitd.ko und eine im Benutzerbereich ausführbare Datei sysinitd, aber auch auf viele Open-Source-Tools angewiesen ist, die oft von chinesischsprachigen Entwicklern erstellt wurden.

Nachdem sie sich zunächst über Ivanti CSA- Geräte Zugriff verschafft hatten, führten die Houken-Hacker auch Erkundungstouren durch und bewegten sich lateral in den Netzwerken der Opfer, wobei sie sogar andere Geräte wie F5 BIG-IP kompromittierten.

ANSSI vermutet, dass Houken-Hacker als erste Zugangsvermittler agieren. Das bedeutet, dass sie sich Zugang zu sensiblen Systemen verschaffen, möglicherweise um den Zugang an andere Gruppen zu verkaufen, die an umfassenderen Spionageaktivitäten interessiert sind.

Während ihr Hauptziel offenbar darin besteht, Zugang zu Geheimdienstinformationen zu verkaufen, beobachtete die ANSSI auch einen Fall von Datendiebstahl und Versuche, Kryptowährungs-Miner zu installieren. Dies lässt darauf schließen, dass sie manchmal auf direkten finanziellen Gewinn aus sind.

Die Houken-Gruppe hat über Frankreich hinaus ein breites Spektrum an Zielen im Visier, darunter auch Organisationen in Südostasien und westlichen Ländern. Ihre Aktivitäten, einschließlich der Einhaltung ihrer Betriebszeiten, orientieren sich an der chinesischen Standardzeit (UTC+8). Um ihre Aktivitäten zu verschleiern, nutzte die Gruppe eine vielfältige Angriffsinfrastruktur, darunter kommerzielle VPN-Dienste, dedizierte Server und sogar private oder mobile IP-Adressen.

Die Verbindungen zwischen Houken und UNC5174, einer zuvor von Mandiant beschriebenen Gruppe, sind stark, da beide Gruppen ähnliche Verhaltensweisen an den Tag legen, wie etwa das Erstellen spezifischer Benutzerkonten und insbesondere das Patchen von Schwachstellen nach der Ausnutzung.

Was diese Kampagne besonders bemerkenswert macht, ist der raffinierte Schachzug der Angreifer: Sie schlossen genau die Schwachstellen, die sie für den Zugriff nutzten. Garrett Calpouzos , leitender Sicherheitsforscher bei Sonatype, bemerkte in einem Kommentar gegenüber Hackread.com, dass diese Taktik „bei fortgeschrittenen Bedrohungsakteuren immer häufiger zu beobachten ist“. Indem sie die Schwachstelle nach ihrem Eindringen schlossen, verhinderten die Houken-Phacker, dass andere Hackergruppen dieselben Schwachstellen nutzten, und konnten so länger verborgen bleiben. Dies deutet auf den Wunsch nach einem dauerhaften, unentdeckten Zugriff auf ihre Ziele hin.

Calpouzos betonte, wie wichtig es sei, internetbasierte Systeme zu sichern, insbesondere im Hinblick auf Schwachstellen bei der Remote Code Execution (RCE). Er betonte außerdem, dass diese Vorfälle die einzigartigen Risiken für hochrangige Ziele wie Regierungsbehörden unterstreichen, die aufgrund bürokratischer Hürden oft Schwierigkeiten haben, schnell zu handeln.

Die Houken-Gruppe ist weiterhin aktiv und Experten gehen davon aus, dass sie auch weiterhin weltweit internetfähige Geräte ins Visier nehmen wird.