Una sofisticada campaña de espionaje denominada “Fire Ant” demuestra capacidades previamente desconocidas para comprometer la infraestructura de virtualización de VMware.
Desde principios de 2025, este actor de amenaza se ha dirigido sistemáticamente a los hosts de VMware ESXi, los servidores vCenter y los dispositivos de red utilizando técnicas a nivel de hipervisor que evaden soluciones tradicionales de seguridad de punto final.
La campaña exhibe una fuerte superposición técnica con el grupo de amenazas UNC3886 previamente identificado, empleando vulnerabilidades críticas y malware personalizado para mantener un acceso persistente y sigiloso a las redes organizacionales.
Control de llave
1. Examen de hormiga de fuego VMware crítico ESXI y fallas de vCenter para acceso no detectado a nivel de hipervisor.
2. Implementa puertas traseras de sigilo e deshabilita el registro para mantener un control persistente.
3. Túneles a través de una infraestructura comprometida para evitar la segmentación de la red y alcanzar los activos aislados.
Técnicas avanzadas de explotación de infraestructura VMware
Lado informes El vector de ataque inicial de ese Fire Ant aprovecha la vulnerabilidad de escritura CVE-2023-34048, una vulnerabilidad de escritura fuera de los límites en la implementación del protocolo DCERPC de VCenter Server que permite la ejecución de código remoto no autorenticada.
Los investigadores de seguridad identificaron bloqueos sospechosos del proceso ‘VMDird’ en los servidores vCenter, lo que indica la explotación de esta vulnerabilidad crítica.
Tras el compromiso exitoso, los actores de amenaza implementan herramientas sofisticadas, incluido el script de código abierto vcenter_generatelogincookie.py, para forjar cookies de autenticación y los mecanismos de inicio de sesión de omitir.
Los atacantes cosechan sistemáticamente credenciales de vpxuser: cuentas del sistema creadas automáticamente por vCenter con privilegios administrativos completos sobre hosts ESXI.
Este robo de credencial permite el movimiento lateral en toda la infraestructura de virtualización, ya que las cuentas de VPXUSER permanecen exentas de las restricciones de modo de bloqueo.
Los actores de amenaza también explotan CVE-2023-20867, una vulnerabilidad de VMware Tools que permite la ejecución no autenticada de comandos de host y host a través de CMDLET invoke-VMScript de PowerCli.
Capacidades de persistencia y métodos de evasión
Fire Ant demuestra capacidades de persistencia notables a través de múltiples técnicas de implementación de puerta trasera.
El grupo instala paquetes de instalación de vSphere (VIB) maliciosos con niveles de aceptación establecidos en ‘socio’ e implementados utilizando el indicador –force para evitar la validación de firma.
Estos VIB no autorizados contienen archivos de configuración que hacen referencia a binarios en la carpeta ‘/bin’ y scripts personalizados integrados en ‘/etc/rc.local.d/’ para la ejecución de inicio.
Además, los atacantes implementan una puerta trasera HTTP basada en Python llamada Autobackup.bin que se une al puerto 8888 y proporciona capacidades de ejecución de comandos remotos.
Este malware modifica ‘/etc/rc.local.d/local.sh’ en hosts ESXI para una ejecución persistente. Para evadir aún más la detección, Fire Ant termina el proceso VMSYSLOGD, el demonio syslog nativo de VMware, deshabilitando efectivamente tanto la escritura de registro local como el reenvío de registro remoto.
Los actores de amenaza demuestran capacidades sofisticadas de manipulación de la red al comprometer los equilibradores de carga F5 a través de la explotación CVE-2022-1388, implementando WebShells a ‘/usr/local/www/xui/common/css/css.php’ para puentes de red.
Utilizan neo-Regegeorg Tunneling Webshells en servidores web internos basados en Java e implementan el RootKit de Medusa en puntos de pivote de Linux para la recolección de credenciales y el acceso persistente.
Fire Ant emplea comandos NetSH PortProxy para el reenvío de puertos a través de puntos finales de confianza, evitando efectivamente las listas de control de acceso y las restricciones de firewall.
El grupo también explota el tráfico IPv6 para eludir las reglas de filtrado centradas en IPv4, lo que demuestra una comprensión integral de los entornos de red de doble pila y las brechas de seguridad comunes en la infraestructura organizacional.
Las organizaciones deben priorizar urgentemente la obtención de sus entornos VMware a través de parches integrales, monitoreo mejorado de actividades de hipervisores e implementación de capacidades de detección avanzadas que se extienden más allá de las soluciones de seguridad de punto final tradicional.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
