Les auteurs de menaces de langue chinoise ont utilisé une appliance VPN SonicWall compromise pour fournir une boîte à outils d’exploitation VMware ESXi qui semble avoir été développée plus d’un an avant que les vulnérabilités ciblées ne soient rendues publiques.

Dans les attaques de décembre 2025 analysées par Huntress, société de sécurité gérée, les pirates ont utilisé une évasion sophistiquée de machine virtuelle (VM) qui a probablement exploité trois vulnérabilités VMware révélées comme des jours zéro en mars 2025.

Sur les trois bogues, un seul a reçu un score de gravité critique:

  • CVE-2025-22226 (score de gravité 7.1) : Une lecture hors limites dans HGFS qui permet une fuite de mémoire du processus VMX
  • CVE-2025 – 22224 (score de gravité de 9,3): Une vulnérabilité de TOCTOU dans l’Interface de communication de machine virtuelle (VMCI) entraînant une écriture hors limites, permettant l’exécution de code en tant que processus VMX
  • CVE-2025-22225 (score de gravité 8.2) : Une vulnérabilité d’écriture arbitraire dans ESXi qui permet d’échapper le bac à sable VMX au noyau

Au moment de la divulgation, Broadcom a averti que les problèmes de sécurité pourraient être enchaînés par des attaquants disposant de privilèges d’administrateur pour échapper à la machine virtuelle et accéder à l’hyperviseur sous-jacent.

Cependant, un nouveau rapport de Huntress fournit des indices indiquant que des vulnérabilités peuvent avoir été enchaînées dans un exploit depuis au moins février 2024.

Les chercheurs ont trouvé dans les chemins PDB des binaires d’exploitation un dossier nommé « 2024_02_19 », suggérant que le package a été développé en tant qu’exploit potentiel du jour zéro.

C:\Users\test\Desktop\2024_02_19\全版本逃逸--交付\report\ESXI_8.0u3\

De plus, à partir du nom du dossier, qui se traduit par « All/Full version escape – delivery », on peut déduire que la cible visée était ESXi 8.0 Update 3.

Huntress estime que l’accès initial est probablement passé par un VPN SonicWall compromis. L’attaquant a utilisé un compte administrateur de domaine compromis pour pivoter via RDP vers les contrôleurs de domaine, organiser les données pour l’exfiltration et exécuter une chaîne d’exploitation qui sort d’une machine virtuelle invitée vers l’hyperviseur ESXi.

La boîte à outils exploit impliquait les composants suivants:

  • MAESTRO (exploit.exe) – Coordonne l’échappement de la machine virtuelle en désactivant les périphériques VMware VMCI, en chargeant le pilote d’exploitation non signé via KDU, en surveillant le succès de l’exploitation et en restaurant les pilotes par la suite.
  • MyDriver.sys-Pilote de noyau non signé qui exécute l’échappement de la machine virtuelle, y compris la détection de la version ESXi, la fuite et la corruption de la mémoire VMX, l’échappement du bac à sable et le déploiement d’une porte dérobée d’hyperviseur.
  • VSOCKpuppet-Porte dérobée ELF exécutée sur l’hôte ESXi qui fournit l’exécution de commandes et le transfert de fichiers via VSOCK, contournant la surveillance réseau traditionnelle.
  • Greffon GetShell (client.exe) – Client Windows VSOCK utilisé pour se connecter à partir d’une machine virtuelle invitée à l’hôte ESXi compromis et interagir avec la porte dérobée VSOCKpuppet.

Les chercheurs ont trouvé plus d’indices pointant vers la date de construction de la boîte à outils. Un chemin PDB intégré dans le ‘ client.le binaire exe ‘ a un dossier nommé « 2023_11_02. »

C:\Users\test\Desktop\2023_11_02\vmci_vm_escape\getshell\source\client\x64\Release\client.pdb

Il est possible que le composant fasse « partie d’une boîte à outils vmci_vm_escape plus large avec un composant getshell. »

Les chercheurs pensent que l’auteur de la menace peut avoir une approche modulaire, dans laquelle il sépare les outils de post-exploitation des exploits. Cela leur permettrait d’utiliser la même infrastructure et de passer simplement à de nouvelles vulnérabilités.

Huntress a déclaré à Breachtrace qu’ils étaient modérément confiants que la boîte à outils d’exploitation exploite les trois vulnérabilités divulguées par Broadcom en mars dernier. Leur évaluation est basée sur le comportement de l’exploit, y compris l’utilisation de HGFS pour la fuite d’informations, VMCI pour la corruption de la mémoire et le shellcode s’échappant vers le noyau.

Cependant, ils n’ont pas pu confirmer avec une certitude à 100% qu’il s’agit de la même exploitation que Broadcom a divulguée dans son bulletin d’origine sur les trois jours zéro.

Le flux d’exploitation complet

En ce qui concerne la chronologie d’exploitation et les observations liées à l’attribution, Huntress rapporte que certains chemins de construction incluent le chinois simplifié, mais il existe également un fichier LISEZ-MOI en anglais, indiquant peut-être une intention de le vendre ou de le partager avec d’autres acteurs de la menace.

Huntress commente que cette combinaison suggère probablement que la boîte à outils a été développée par un développeur disposant de ressources suffisantes opérant dans une région de langue chinoise.

Bien que les chercheurs soient convaincus que SonicWall VPN était le vecteur d’entrée initial, ils recommandent aux organisations d’appliquer les dernières mises à jour de sécurité ESXi et d’utiliser les règles YARA et Sigma fournies pour une détection précoce.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *