Опасная уязвимость повышения привилегий в продуктах VMware Aria Operations и VMware Tools оказалась на вооружении китайской хакерской группировки UNC5174 задолго до её официального раскрытия. Как сообщают эксперты NVISO, эксплойт CVE-2025-41244 применялся с октября прошлого года, что делает его типичным примером атаки нулевого дня — когда уязвимость используется до того, как производитель её устранит.
Хотя компания Broadcom, владеющая VMware, не признала факт эксплуатации уязвимости в реальных условиях, она поблагодарила исследователя угроз NVISO Максима Тибо за выявление и документирование проблемы в мае 2025 года. По словам Тибо, атака основывалась на размещении вредоносного двоичного файла в заранее известном пути — например, в каталоге /tmp/httpd. После запуска файла от имени обычного пользователя вредоносная активность могла быть скрыта от большинства стандартных систем защиты.
Уязвимость позволяла непривилегированному пользователю добиться повышения прав до уровня root, что открывало полный доступ к системе. Экспериментальная демонстрация эксплойта, опубликованная NVISO, показала, как злоумышленники получали контроль над виртуальной машиной, используя уязвимые компоненты VMware в различных режимах — как с учётными данными, так и без них.
Компания Broadcom, несмотря на серьёзность инцидента, отказалась от комментариев для издания BleepingComputer.
Исследовательская команда Google Mandiant подтвердила, что UNC5174 ранее уже была связана с атаками на критическую инфраструктуру и считается подрядчиком Министерства государственной безопасности Китая (MSS).
Ранее UNC5174 использовала уязвимость F5 BIG-IP CVE-2023-46747 для атак на американских оборонных подрядчиков, правительственные структуры Великобритании и учреждения в Азии. В феврале 2024 года эта же группировка была замечена в масштабной кампании взломов через уязвимость ConnectWise ScreenConnect (CVE-2024-1709), затронувшей сотни организаций в США и Канаде.
В мае 2025 года UNC5174 также применяла уязвимость CVE-2025-31324 в системе SAP NetWeaver Visual Composer, которая позволяет загружать файлы без аутентификации и выполнять код удалённо на уязвимых серверах. В этой атаке использовалась схема неаутентифицированной загрузки с получением полного контроля над системой.
Кроме UNC5174, к серии атак присоединились и другие китайские хакерские структуры — Chaya_004, UNC5221 и CL-STA-0048. Совместными усилиями они взломали более 580 экземпляров SAP NetWeaver, в том числе связанные с критически важной инфраструктурой в Великобритании и США.