Исследователи компании Sygnia сообщили о продолжающейся кибершпионской кампании, в ходе которой злоумышленники, предположительно действующие в интересах китайского государства, атакуют инфраструктуру VMware с целью получить доступ к корпоративным сетям. Активность отслеживается с начала 2025 года. Группировка, получившая условное название Fire Ant, использует многослойные и малозаметные методики, обеспечивающие проникновение в изолированные сегменты сетей.
По данным Sygnia, группа последовательно нацеливается на виртуализированные среды и сетевую инфраструктуру, особенно на решения VMware. Именно эти системы злоумышленники используют как точку входа для закрепления, горизонтального перемещения и долговременного присутствия в сетях пострадавших организаций.
В отчёте, опубликованном 24 июля, Sygnia подчёркивает, что методы Fire Ant основаны на инфраструктурных векторах и позволяют действовать вне поля зрения традиционных средств защиты конечных точек. Это демонстрирует наличие серьёзных уязвимостей в стандартных инструментах мониторинга и безопасности.
По признакам — характеру используемых инструментов, прицелу на инфраструктуру VMware и почерку атак — Fire Ant соотносится с китайской APT-группировкой UNC3886, ранее описанной Mandiant. Кроме того, Sygnia отмечает, что временные интервалы активности злоумышленников и характер опечаток при выполнении команд соответствуют раскладке китайской клавиатуры, что косвенно подтверждает региональную принадлежность участников атак.
В ходе кампании Fire Ant использовала уязвимость CVE-2023-34048 в VMware vCenter — ошибку записи за пределы допустимой области памяти — для удалённого исполнения кода без аутентификации. Это дало злоумышленникам полный контроль над виртуализационным уровнем.
После этого атакующие установили несколько бэкдоров на хосты VMware ESXi и на сам vCenter, чтобы сохранять доступ даже после перезагрузки. Получив контроль над гипервизором, они напрямую взаимодействовали с гостевыми виртуальными машинами, выполняли команды через PowerCLI без учётных данных, модифицировали защитные средства и извлекали учётные данные из дампов памяти.