Anssi tarafından 1 Temmuz 2025’te yayınlanan bir raporda, Fransız Siber Güvenlik Ajansı, Houken olarak adlandırılan yüksek vasıflı bir siber suç grubu, birden fazla sıfır gün güvenlik açıkından (CVE-2024-890) yararlanan sofistike bir saldırı kampanyası gerçekleştirdi (CVE-2024-8963 ve CVE-2024-890) ve CVE-2024-8963 ve CVE-2024-8963 ve CVE-2024-8963 ve CVE-2024-8963 ve CVE-2024-8963 ve CVE-2024-896) cihazlar.
Çin tehdit oyuncusu UNC5174 ile bağlantılı olduğuna inanılan bu grup, Fransa genelinde yüksek değerli hedeflere sızdı. Etkilenen sektörler arasında devlet organları, savunma kuruluşları, telekomünikasyon sağlayıcıları, finansal kurumlar, medya kuruluşları ve ulaşım ağları vardı.
Saldırılar ilk olarak Eylül 2024’te, ağlarına ilk erişim arayan Fransız kuruluşları hedefleyen gözlemlendi. Bu sıfır gün güvenlik açıkları, yani istismar edilene kadar Ivanti ve halk tarafından bilinmiyorlardı, saldırganların savunmasız cihazlarda uzaktan kod yürütmesine izin verdi.
Anssi’nin araştırması, bu grubun özel bir rootkit, özellikle sysinitd.KO adlı bir çekirdek modülü ve bir kullanıcı alanı yürütülebilir Sysinitd gibi karmaşık araçları kullandığını, ancak aynı zamanda Çince konuşan geliştiriciler tarafından sıklıkla oluşturulan birçok açık kaynaklı araça güvendiğini ortaya koydu.
Ivanti CSA cihazları aracılığıyla ilk erişim elde ettikten sonra, Houken Hackerlar da keşif yaptı ve kurban ağlarına yanal olarak hareket etti, hatta F5 Big-IP gibi diğer cihazlardan ödün verdiler.
ANSSI, Houken Bilgisayar korsanlarının ilk erişim komisyoncusu olarak hareket ettiğinden şüpheleniyor. Bu, daha derin casusluk faaliyetleriyle ilgilenen diğer gruplara erişim satmak için hassas sistemlerde bir dayanak kazandıkları anlamına gelir.
Ana hedefleri istihbarat için erişim satıyor gibi görünse de, ANSSI ayrıca bir veri hırsızlığı örneği gördü ve kripto para birimi madencileri yüklemeye çalışıyor ve bazen doğrudan finansal kazanç aradıklarını gösteriyor.
Houken Grubu, Güneydoğu Asya ve Batı ülkelerindeki kuruluşlar da dahil olmak üzere Fransa’nın ötesinde çok çeşitli hedeflere sahiptir. Operasyonel saatlerinin gözlemleri de dahil olmak üzere faaliyetleri, Çin standart zamanına (UTC+8) uyumludur. Operasyonlarını gizlemek için grup, ticari VPN hizmetleri, özel sunucular ve hatta konut veya mobil IP adresleri de dahil olmak üzere çeşitli saldırı altyapısı kullandı.
Daha önce Mantiant tarafından tanımlanan bir grup olan Houken ve UNC5174 arasındaki bağlantılar, her iki grup da belirli kullanıcı hesapları oluşturmak ve özellikle sömürüden sonra güvenlik açıklarını yamalamak gibi benzer davranışlar sergilediğinden güçlüdür.
Bu kampanyayı özellikle dikkat çekici kılan şey, saldırganların kurnaz hareketidir: içeri girmek için kullandıkları güvenlik açıklarını yamaladılar. Hackread.com ile paylaşılan Sonatype baş güvenlik araştırmacısı Garrett Calpouzos, “ileri tehdit aktörleri arasında daha sık gördüğümüz bir taktik” olduğunu belirtti. Girişten sonra kusuru düzelterek Houken Phackers, diğer hack gruplarının aynı zayıf noktaları kullanmasını ve daha uzun süre gizli kalmalarına yardımcı olmalarını sağladı. Bu, hedeflerine sürekli, tespit edilmemiş erişim arzusu olduğunu düşündürmektedir.“
Calpouzos, özellikle “uzaktan kod yürütme (RCE) güvenlik açıkları” ile internete dönük sistemleri güvence altına almanın önemini vurguladı. Ayrıca bu olayların “devlet kurumları gibi yüksek değerli hedeflerin karşılaştığı ve genellikle bürokratik engeller nedeniyle hızlı hareket etmek için mücadele eden benzersiz risklerin” olduğunu vurguladı.
Houken grubu aktif kalır ve uzmanlar dünya çapında internete maruz kalan cihazları hedeflemeye devam etmelerini bekler.