Các tác nhân đe dọa nói tiếng Trung Quốc bị tình nghi đã tận dụng một thiết bị SonicWall VPN bị xâm nhập làm vector truy cập ban đầu để triển khai một exploit VMware ESXi có thể đã được phát triển từ tháng 2 năm 2024.
Công ty an ninh mạng Huntress, đơn vị đã quan sát hoạt động này vào tháng 12 năm 2025 và ngăn chặn nó trước khi tiến đến giai đoạn cuối cùng, cho biết sự việc có thể đã dẫn đến một cuộc tấn công ransomware.
Đáng chú ý nhất, cuộc tấn công được cho là đã khai thác ba lỗ hổng VMware được Broadcom công bố là các zero-day vào tháng 3 năm 2025: CVE-2025-22224 (điểm CVSS: 9.3), CVE-2025-22225 (điểm CVSS: 8.2) và CVE-2025-22226 (điểm CVSS: 7.1). Khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công có đặc quyền quản trị làm rò rỉ bộ nhớ từ tiến trình Virtual Machine Executable (VMX) hoặc thực thi code dưới dạng tiến trình VMX.
Cũng trong tháng đó, Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã thêm lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV), trích dẫn bằng chứng về việc khai thác đang diễn ra.
"Bộ công cụ được phân tích [...] cũng bao gồm các chuỗi tiếng Trung giản thể trong đường dẫn phát triển của nó, bao gồm một thư mục có tên '全版本逃逸--交付' (dịch: 'Tất cả các phiên bản thoát - giao hàng'), và bằng chứng cho thấy nó có khả năng được xây dựng như một zero-day exploit hơn một năm trước khi VMware công bố, cho thấy một nhà phát triển có nguồn lực tốt có thể đang hoạt động trong khu vực nói tiếng Trung Quốc," các nhà nghiên cứu Anna Pham và Matt Anderson cho biết.
Đánh giá rằng bộ công cụ này vũ khí hóa ba điểm yếu của VMware dựa trên hành vi của exploit, việc sử dụng Host-Guest File System (HGFS) để rò rỉ thông tin, Virtual Machine Communication Interface (VMCI) để làm hỏng bộ nhớ và shellcode thoát ra kernel, công ty cho biết thêm.
Bộ công cụ này bao gồm nhiều thành phần, trong đó chủ yếu là "exploit.exe" (hay còn gọi là MAESTRO), đóng vai trò điều phối cho toàn bộ quá trình thoát máy ảo (VM) bằng cách sử dụng các binary nhúng sau:
- devcon.exe, để vô hiệu hóa các driver VMCI phía guest của VMware
- MyDriver.sys, một unsigned kernel driver chứa exploit được nạp vào bộ nhớ kernel bằng một công cụ mã nguồn mở có tên Kernel Driver Utility (KDU), sau đó trạng thái exploit được giám sát và các driver VMCI được kích hoạt lại
Trách nhiệm chính của driver là xác định phiên bản ESXi chính xác đang chạy trên host và kích hoạt exploit cho CVE-2025-22226 và CVE-2025-22224, cuối cùng cho phép kẻ tấn công ghi ba payload trực tiếp vào bộ nhớ của VMX:
- Stage 1 shellcode, để chuẩn bị môi trường cho VMX sandbox escape
- Stage 2 shellcode, để thiết lập foothold trên host ESXi
- VSOCKpuppet, một ELF backdoor 64-bit cung cấp quyền truy cập từ xa liên tục vào host ESXi và giao tiếp qua VSOCK (Virtual Sockets) cổng 10000
"Sau khi ghi các payload, exploit ghi đè một con trỏ hàm bên trong VMX," Huntress giải thích. "Nó đầu tiên lưu giá trị con trỏ gốc, sau đó ghi đè bằng địa chỉ của shellcode. Exploit sau đó gửi một tin nhắn VMCI đến host để kích hoạt VMX."
"Khi VMX xử lý tin nhắn, nó đi theo con trỏ bị hỏng và nhảy đến shellcode của kẻ tấn công thay vì code hợp lệ. Giai đoạn cuối cùng này tương ứng với CVE-2025-22225, được VMware mô tả là một 'arbitrary write vulnerability' cho phép 'escaping the sandbox'."
Vì VSOCK cung cấp một đường dẫn giao tiếp trực tiếp giữa các guest VM và hypervisor, các tác nhân đe dọa đã được phát hiện sử dụng một "client.exe" (hay còn gọi là GetShell Plugin) có thể được sử dụng từ bất kỳ guest Windows VM nào trên host bị xâm nhập và gửi lệnh ngược lên ESXi bị xâm nhập để tương tác với backdoor. Đường dẫn PDB được nhúng trong binary cho thấy nó có thể đã được phát triển vào tháng 11 năm 2023.
Client này hỗ trợ khả năng tải xuống tệp từ ESXi xuống VM, tải lên tệp từ VM lên ESXi và thực thi các lệnh shell trên hypervisor. Điều thú vị là GetShell Plugin được thả vào Windows VM dưới dạng một kho lưu trữ ZIP ("Binary.zip"), cũng bao gồm một tệp README với hướng dẫn sử dụng, cung cấp cái nhìn sâu sắc về các tính năng truyền tệp và thực thi lệnh của nó.
Hiện tại vẫn chưa rõ ai đứng đằng sau bộ công cụ này, nhưng việc sử dụng tiếng Trung giản thể, cùng với sự tinh vi của chuỗi tấn công và việc lạm dụng các zero-day vulnerabilities hàng tháng trước khi công khai, có khả năng chỉ ra một nhà phát triển có nguồn lực tốt đang hoạt động trong khu vực nói tiếng Trung Quốc, Huntress đưa ra giả thuyết.
"Sự xâm nhập này thể hiện một chuỗi tấn công tinh vi, đa giai đoạn được thiết kế để thoát khỏi sự cô lập của máy ảo và xâm phạm hypervisor ESXi bên dưới," công ty nói thêm. "Bằng cách kết hợp một information leak, memory corruption và sandbox escape, tác nhân đe dọa đã đạt được điều mà mọi quản trị viên VM lo sợ: kiểm soát hoàn toàn hypervisor từ bên trong một guest VM."
"Việc sử dụng VSOCK để liên lạc backdoor đặc biệt đáng lo ngại, nó bỏ qua hoàn toàn việc giám sát mạng truyền thống, làm cho việc phát hiện khó khăn hơn đáng kể. Bộ công cụ cũng ưu tiên tàng hình hơn là duy trì quyền truy cập."
