L’ANSSI alerte sur l’exploitation active de failles critiques dans Ivanti Cloud Service Access, ayant permis à des attaquants d’infiltrer plusieurs organisations françaises sensibles. Derrière cette campagne, un acteur lié au mode opératoire « Houken », soupçonné de vendre des accès initiaux à des groupes étatiques, mais aussi motivé par le gain financier.
Des failles critiques exploitées depuis 2024
Trois vulnérabilités critiques affectant Ivanti Cloud Service Access (CSA) ont été exploitées en chaîne avec la faille CVE-2024-8963. Les failles CVE-2024-9379, CVE-2024-9380 et CVE-2024-9381, bien que connues depuis l’été 2024, n’ont été publiquement détaillées par Ivanti qu’en octobre 2024. L’exploitation active est observée dès septembre 2024 selon l’ANSSI et révélée seulement le 1er juillet 2025.
Les secteurs stratégiques français ciblés
Des organisations françaises ont été touchées, notamment dans différents domaines stratégiques : gouvernement, télécommunications, médias, finance et transports. Dans trois cas documentés, les attaquants sont allés au-delà du point d’entrée et ont ainsi pu collecter des données d’identification, effectuer des déplacements latéraux vers les SI internes et multiplier les tentatives de persistance.
Un lien présumé entre « Houken » et UNC5174
L’ANSSI regroupe ces attaques sous la désignation « Houken ». Elles se caractérisent par l’usage de zero-days, un rootkit sophistiqué et des outils open source d’origine sinophone. L’infrastructure repose sur des VPN commerciaux et des serveurs dédiés.
L’ANSSI soupçonne un lien entre Houken et le groupe UNC5174 décrit par Mandiant. Ce groupe a récemment été vu exploitant la faille CVE-2025-31324 (SAP NetWeaver). Depuis 2023, Houken serait utilisé par un courtier en accès initiaux, pour revendre les accès à des entités, notamment étatiques.
Renseignement ou profit ?
L’objectif principal présumé serait la vente d’accès initiaux à des États ou groupes intéressés par du renseignement. Mais l’ANSSI note aussi des indices d’exfiltration de données et de déploiement de cryptomineurs, suggérant des motivations lucratives. Enfin, les horaires d’activité (UTC+8) correspondent au fuseau horaire chinois (CST).
