El grupo de ciberdelincuentes UNC3886, originario de China, está llevando a cabo ataques activos utilizando una vulnerabilidad Zero-day en los hosts de VMware ESXi. El objetivo de estos ataques es infiltrar puertas traseras en sistemas operativos Windows y Linux.
La vulnerabilidad de autenticación en VMware Tools, identificada como CVE-2023-20867 (con una puntuación CVSS: 3.9), permite la ejecución de comandos con privilegios en sistemas operativos Windows, Linux y PhotonOS (vCenter) sin necesidad de autenticación de credenciales en los sistemas operativos invitados. Esto se logra desde un host ESXi comprometido y sin registro predeterminado en los sistemas operativos invitados.
El grupo UNC3886 fue detectado por la empresa de ciberseguridad Mandiant a finales de 2022. Su modus operandi implica la infección de servidores de VMware ESXi y vCenter mediante puertas traseras denominadas VIRTUALPITA y VIRTUALPIE.
Además de la explotación de esta vulnerabilidad, se ha observado que el grupo también recopila credenciales de servidores vCenter para ejecutar comandos y transferir archivos hacia y desde las máquinas virtuales invitadas desde un host ESXi comprometido. Una característica destacada de la técnica utilizada por UNC3886 es su empleo de los sockets de la Interfaz de Comunicación de Máquina Virtual (VMCI), lo que le permite establecer un canal encubierto entre el host ESXi y las máquinas virtuales invitadas, asegurando una persistencia continua.
A principios de marzo, este mismo grupo estuvo vinculado a la explotación de una vulnerabilidad en sistemas Fortinet FortiOS, aunque dicha vulnerabilidad ya ha sido parcheada. Su objetivo era utilizar esta plataforma como lanzadera para la instalación y gestión de puertas traseras.