Selon BleepingComputer (article de Bill Toulas), s’appuyant sur une analyse de Huntress, des acteurs de la menace sino-phones ont utilisé un équipement VPN SonicWall compromis pour livrer un kit d’exploit permettant une évasion de machine virtuelle sur VMware ESXi, potentiellement un an avant la divulgation publique des vulnérabilités visées.

  • Nature de l’attaque : chaîne d’exploits d’« évasion de VM » contre VMware ESXi depuis une VM invitée vers l’hyperviseur, avec déploiement d’un backdoor VSOCK sur l’hôte ESXi. 🚨
  • Point d’entrée : VPN SonicWall compromis, pivot avec un compte Domain Admin, RDP vers des contrôleurs de domaine, préparation d’exfiltration, puis exécution de la chaîne d’exploit.
  • Cible pressentie : ESXi 8.0 Update 3 (indice dans les chemins de build). Des éléments en chinois simplifié et un README en anglais suggèrent un développement modulaire potentiellement destiné à être partagé/vendu.

Vulnérabilités impliquées (corrélées par le comportement observé, sans confirmation absolue) :

  • CVE-2025-22226 (7.1)Out-of-bounds read HGFS permettant une fuite mémoire du processus VMX.
  • CVE-2025-22224 (9.3)TOCTOU dans VMCI menant à un out-of-bounds write et à l’exécution de code en tant que processus VMX.
  • CVE-2025-22225 (8.2)Écriture arbitraire dans ESXi permettant de sortir du bac à sable VMX vers le noyau.

Chaîne d’outillage identifiée :

  • MAESTRO (exploit.exe) — orchestre l’évasion (désactive VMCI, charge un driver non signé via KDU, surveille la réussite, restaure les pilotes).
  • MyDriver.sysdriver noyau non signé exécutant la détection de version ESXi, fuite/corruption mémoire VMX, échappement du sandbox, et déploiement d’un backdoor hyperviseur.
  • VSOCKpuppetbackdoor ELF sur l’hôte ESXi, commandes et transfert de fichiers via VSOCK pour contourner la supervision réseau.
  • GetShell Plugin (client.exe) — client VSOCK Windows depuis la VM invitée pour interagir avec VSOCKpuppet.

Chronologie et attribution :

  • Indices de développement antérieur : chemins PDB avec dates “2024_02_19” et “2023_11_02” (p. ex. “C:\Users\test\Desktop\2024_02_19\全版本逃逸–交付\report\ESXI_8.0u3\” ; “C:\Users\test\Desktop\2023_11_02\vmci_vm_escape\getshell\source\client\x64\Release\client.pdb”).
  • Huntress est « modérément confiant » que la boîte à outils exploite les trois CVE divulguées en mars 2025 par Broadcom, sans certitude à 100%.
  • L’analyse suggère un développeur bien doté opérant dans une région sino-phone; présence d’un README en anglais pouvant indiquer un partage ou une vente à d’autres acteurs.

IOCs et TTPs clés:

  • Artefacts/chemins de build:
    • “C:\Users\test\Desktop\2024_02_19\全版本逃逸–交付\report\ESXI_8.0u3\”
    • “C:\Users\test\Desktop\2023_11_02\vmci_vm_escape\getshell\source\client\x64\Release\client.pdb”
  • Outils: MAESTRO (exploit.exe), MyDriver.sys, VSOCKpuppet, GetShell Plugin (client.exe), KDU (chargement driver non signé)
  • TTPs: compromission VPN SonicWallpivot RDP avec Domain Adminstaging exfiltrationfuite via HGFS, corruption mémoire via VMCI, évasion vers le noyau, backdoor VSOCK pour C2 et transferts en contournant la surveillance.

Huntress recommande d’appliquer les dernières mises à jour ESXi et de recourir aux règles YARA et Sigma fournies pour une détection précoce. Article de presse spécialisé visant à informer sur une chaîne d’exploitation avancée d’ESXi et sa chronologie probable.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/vmware-esxi-zero-days-likely-exploited-a-year-before-disclosure/