Анализ Huntress показал, что хакеры, связанные с КНР, разработали эксплойт для побега из гипервизора VMware ESXi, используя уязвимости за год до их публичного раскрытия. Обнаружен сложный инструментарий, нацеленный на ядро ESXi через скомпрометированную ВМ.
Киберпреступники, связанные с Китаем, располагали рабочим комплектом для побега из гипервизора VMware ESXi более чем за год до того, как уязвимости, на которых он основывался, стали достоянием общественности.
Об этом заявляют исследователи из Huntress, которые на этой неделе опубликовали подробный разбор вторжения, зафиксированного в декабре 2025 года, в ходе которого использовался «сложный» инструментарий для прорыва из виртуальных машин и атаки на сам гипервизор ESXi. Фирма по кибербезопасности утверждает, что части кода указывают на начало разработки еще в феврале 2024 года — за полный год до того, как VMware обнародовала эти уязвимости в марте 2025 года.
Инцидент начался весьма прозаично — с скомпрометированного VPN-устройства SonicWall. Оттуда злоумышленники смогли захватить учетную запись Domain Admin, переместиться по сети и в конечном итоге развернуть набор инструментов, которые, по данным Huntress, использовали множественные уязвимости для побега из гостевой ВМ и доступа к базовому гипервизору ESXi.
Уязвимости побега из виртуальной машины (VM escape) представляют особую опасность, поскольку они нарушают основополагающий принцип виртуализации: гарантию того, что скомпрометированная ВМ останется изолированной. В данном случае, судя по всему, злоумышленники объединили специфические для ESXi уловки, которые позволили им перешагнуть барьер и выполнить код непосредственно на гипервизоре.
Анализ бинарных файлов, проведенный Huntress, выявил пути разработки с упрощенными китайскими строками и папками, помеченными китайским текстом, означающим «Побег из всех версий – доставка» (All version escape – delivery), что намекает на регион и цель этой работы. Более того, исследователи отмечают, что код содержал временные метки, свидетельствующие о его сборке задолго до того, как VMware признала или исправила уязвимости.
Эти уязвимости — отслеживаемые как CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 — были помечены VMware в марте 2025 года как критические и высокоприоритетные ошибки, которые можно было объединить для компрометации гипервизора из гостевой ВМ. В то время компания предупреждала, что у нее есть «информация, свидетельствующая о том, что эксплуатация [всех трех CVE] уже имела место в реальных условиях».
В то время как организации спешно устанавливали исправления для своих хостов ESXi после выхода предупреждения, результаты анализа Huntress предполагают, что по крайней мере некоторые опытные злоумышленники уже использовали эти проблемы в своих целях задолго до того, как ИТ-отделы узнали об их существовании.
Это была не просто быстрая кража. Huntress сообщает, что злоумышленники отключали собственные драйверы VMware, загружали неподписанные модули ядра и отправляли отчеты о состоянии способами, рассчитанными на незаметность. Инструментарий поддерживал широкий спектр версий ESXi, охватывая более 150 сборок, что позволило бы атакующим затронуть обширный круг сред, если бы их не остановили, добавили в компании.
Это также не первый случай, когда злоумышленники, связанные с Китаем, были пойманы на скрытом использовании уязвимостей нулевого дня в широко распространенном корпоративном программном обеспечении. Кампании, подобные Volt Typhoon, показали, как связанные с Китаем хакеры могут месяцами незаметно находиться внутри корпоративных сетей, не привлекая внимания. В том случае большинство жертв также не подозревали о проблемах до самого последнего момента. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 8/9
Bajan-score: 0.708442569
Автор – Carly Page