SonicWall VPN

Selon Huntress (Tactical Response et SOC), une intrusion observée en décembre 2025 a mené au déploiement d’un kit d’exploits visant VMware ESXi pour réaliser une évasion de machine virtuelle. L’accès initial est évalué avec haute confiance via un VPN SonicWall compromis. L’outillage contient des chaînes en chinois simplifié et des indices d’un développement de type zero-day antérieur à la divulgation publique, suggérant un développeur bien doté en ressources dans une région sinophone. L’activité, stoppée par Huntress, aurait pu culminer en ransomware. ...

Selon BleepingComputer (article de Bill Toulas), s’appuyant sur une analyse de Huntress, des acteurs de la menace sino-phones ont utilisé un équipement VPN SonicWall compromis pour livrer un kit d’exploit permettant une évasion de machine virtuelle sur VMware ESXi, potentiellement un an avant la divulgation publique des vulnérabilités visées. Nature de l’attaque : chaîne d’exploits d’« évasion de VM » contre VMware ESXi depuis une VM invitée vers l’hyperviseur, avec déploiement d’un backdoor VSOCK sur l’hôte ESXi. 🚨 Point d’entrée : VPN SonicWall compromis, pivot avec un compte Domain Admin, RDP vers des contrôleurs de domaine, préparation d’exfiltration, puis exécution de la chaîne d’exploit. Cible pressentie : ESXi 8.0 Update 3 (indice dans les chemins de build). Des éléments en chinois simplifié et un README en anglais suggèrent un développement modulaire potentiellement destiné à être partagé/vendu. Vulnérabilités impliquées (corrélées par le comportement observé, sans confirmation absolue) : ...