Anssi : les vulnérabilités Ivanti Cloud Service Access ont fait des victimes en France

Elles sont au nombre de trois et affectent Ivanti Cloud Service Application. Elles sont connues depuis l’été 2024 et considérées comme activement exploitées depuis septembre dernier. Il faudra toutefois attendre octobre pour qu’Ivanti en fasse état en évoquant leur exploitation en chaîne : ce sont les CVE-2024-9379, la CVE-2024-9380 ou la CVE-2024-9381 sont enchaînées avec la CVE-2024-8963.

Et il aura fallu attendre le 1^er juillet 2025 pour que l’Agence nationale de la sécurité des systèmes d’information (Anssi) révèle avoir « observé en septembre 2024 » une campagne d’attaques « visant l’établissement d’accès initiaux dans les réseaux d’entités françaises » via l’exploitation de ces vulnérabilités : « des organisations françaises issues des secteurs gouvernemental, des télécommunications, des médias, de la finance et des transports ont été touchées ».

L’agence regroupe les techniques, tactiques et procédures observés sous la désignation « Houken » qui « se caractérise par une utilisation ambivalente des ressources. Si ses opérateurs exploitent des vulnérabilités zero-day et un rootkit sophistiqué, ils utilisent également un grand nombre d'outils open source principalement conçus par des développeurs sinophones ».

L'infrastructure utilisé dans ce cadre « est composée d'éléments divers, notamment des VPN commerciaux et des serveurs dédiés ».

Dans sa note synthèse, l’Anssi indique soupçonner que « le kit d'intrusion Houken est exploité par le même acteur malveillant que le kit d'intrusion précédemment décrit par MANDIANT sous le nom d'UNC5174 ». Lequel a notamment été récemment observé exploitant la vulnérabilité CVE-2025-31324 de SAP NetWeaver.

Selon l’agence, « depuis 2023, Houken est probablement utilisé par un courtier en accès initiaux pour prendre pied sur les systèmes ciblés, qui pourraient ensuite être vendus à des entités intéressées par la réalisation d'activités post-exploitation plus approfondies ».

L’Anssi indique que, « bien qu'il ait déjà été documenté pour son exploitation opportuniste des vulnérabilités des périphériques, l'utilisation de zero-days par un acteur malveillant lié à UNC5174 est nouvelle à la connaissance de l'Anssi ».

Et d’estimer que « les opérateurs derrière les ensembles d'intrusion UNC5174 et Houken recherchent probablement avant tout des accès initiaux précieux à vendre à un acteur lié à un État à la recherche de renseignements pertinents. Cependant, l'Anssi a également observé un cas d'exfiltration de données ainsi qu'un intérêt pour le déploiement de cryptomineurs, ce qui indique des objectifs purement lucratifs ».

En ce qui concerne la France, « dans trois cas, la compromission d’équipements Ivanti CSA a été suivie par des déplacements latéraux vers les systèmes d’information internes à la victime » : « l'acteur malveillant a également collecté des identifiants et tenté d'établir une persistance sur ces réseaux compromis. Le fuseau horaire des activités opérationnelles de l'attaquant était UTC+8, ce qui correspond à l'heure normale de Chine (CST) ».