Um novo relatório de segurança revelou que agentes de ameaça de língua chinesa utilizaram dispositivos VPN da SonicWall comprometidos para implantar um kit de ferramentas de exploração no VMware ESXi. O dado mais alarmante desta investigação sugere que as ferramentas de ataque foram desenvolvidas mais de um ano antes de as vulnerabilidades que exploram serem conhecidas pelo público.
A análise, conduzida pela empresa de segurança Huntress e focada em ataques ocorridos em dezembro de 2025, expõe uma sofisticação técnica elevada. Os invasores utilizaram uma técnica complexa de fuga de máquina virtual (VM escape) que, muito provavelmente, tirou partido de três falhas no VMware que apenas foram divulgadas como "dia-zero" (zero-day) em março de 2025.
O "salto" da Máquina Virtual
Das três vulnerabilidades exploradas, apenas uma recebeu uma classificação de severidade crítica, mas a combinação das três permitiu aos atacantes um controlo profundo sobre os sistemas. As falhas em questão são:
CVE-2025-22226: Uma leitura fora dos limites no serviço HGFS, permitindo a fuga de memória do processo VMX.
CVE-2025-22224: Uma vulnerabilidade no Interface de Comunicação da Máquina Virtual (VMCI) que permite a execução de código.
CVE-2025-22225: Uma falha de escrita arbitrária no ESXi que permite escapar da sandbox VMX diretamente para o kernel.
Na altura da divulgação, a Broadcom (proprietária da VMware) alertou que estas falhas de segurança poderiam ser encadeadas por atacantes com privilégios de administrador para escapar da VM e ganhar acesso ao hipervisor subjacente. No entanto, o relatório da Huntress indica que esta "corrente" de exploração já estava ativa muito antes do aviso oficial.
Pistas no código apontam para a China
Os investigadores encontraram evidências digitais que contradizem a linha temporal pública das vulnerabilidades. Nos caminhos de depuração (PDB paths) dos binários do exploit, foi encontrada uma pasta nomeada "2024_02_19", sugerindo que o pacote foi desenvolvido como um potencial exploit de dia-zero ainda em fevereiro de 2024.
Além da data, o caminho incluía caracteres em chinês simplificado que se traduzem por "Fuga de versão completa - entrega", indicando que o alvo pretendido seria o ESXi 8.0 Update 3. A Huntress avalia que o acesso inicial terá ocorrido através de uma VPN da SonicWall comprometida. A partir daí, o atacante utilizou uma conta de Administrador de Domínio para se mover lateralmente na rede, preparar dados para exfiltração e executar a cadeia de exploração.
O kit de ferramentas utilizado era modular e incluía componentes como o "MAESTRO" (para coordenar a fuga da VM e carregar drivers não assinados), o "MyDriver.sys" (para executar a fuga e instalar backdoors) e o "VSOCKpuppet" (um backdoor para execução de comandos). Esta abordagem modular sugere que os autores da ameaça separam as ferramentas pós-exploração dos exploits em si, permitindo-lhes reutilizar a infraestrutura mudando apenas o método de ataque para novas vulnerabilidades.
Embora a Huntress não confirme com 100% de certeza que o exploit corresponde exatamente às falhas divulgadas pela Broadcom, o comportamento do malware — incluindo o uso do HGFS para fuga de informação e do VMCI para corrupção de memória — alinha-se fortemente com essa hipótese. A empresa recomenda a aplicação urgente das atualizações de segurança mais recentes do ESXi, conforme detalhado no relatório original da BleepingComputer.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech