Er wordt vermoed dat Chineessprekende bedreigingsactoren een gecompromitteerd SonicWall VPN-apparaat hebben gebruikt als initiële toegangsvector om een VMware ESXi-exploit in te zetten die mogelijk al in februari 2024 is ontwikkeld.
Cyberbeveiligingsbedrijf Huntress, dat de activiteit in december 2025 observeerde en stopte voordat deze naar de laatste fase kon gaan, zei dat dit mogelijk heeft geresulteerd in een ransomware-aanval.
Met name wordt aangenomen dat de aanval misbruik heeft gemaakt van drie VMware-kwetsbaarheden die in maart 2025 door Broadcom als zero-days werden bekendgemaakt: CVE-2025-22224 (CVSS-score: 9,3), CVE-2025-22225 (CVSS-score: 8,2) en CVE-2025-22226 (CVSS-score: 7,1). Succesvol misbruik van het probleem kan een kwaadwillende actor met beheerdersrechten in staat stellen geheugen uit het Virtual Machine Executable (VMX)-proces te lekken of code uit te voeren als het VMX-proces.
Diezelfde maand voegde de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) de fout toe aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve uitbuiting.
“De geanalyseerde toolkit (…) bevat ook vereenvoudigde Chinese tekenreeksen in de ontwikkelingspaden, waaronder een map met de naam ‘全版本逃逸–交付’ (vertaald: ‘All versie escape – delivery’), en bewijs dat suggereert dat het mogelijk is gebouwd als een zero-day-exploit meer dan een jaar vóór de publieke onthulling van VMware, wat wijst op een goed uitgeruste ontwikkelaar die waarschijnlijk in een Chineessprekende regio opereert”, aldus onderzoekers Anna Pham en Matt Anderson.
De beoordeling dat de toolkit de drie tekortkomingen van VMware bewapent, is gebaseerd op het gedrag van de exploit, het gebruik van Host-Guest File System (HGFS) voor het lekken van informatie, Virtual Machine Communication Interface (VMCI) voor geheugencorruptie en shellcode die naar de kernel ontsnapt, voegde het bedrijf eraan toe.
De toolkit omvat meerdere componenten, waarvan de belangrijkste “exploit.exe” (ook bekend als MAESTRO) is, die fungeert als orkestrator voor de volledige ontsnapping van de virtuele machine (VM) door gebruik te maken van de volgende ingebedde binaire bestanden:
- devcon.exe, om de VMCI-stuurprogramma’s aan de gastzijde van VMware uit te schakelen
- MyDriver.sys, een niet-ondertekende kerneldriver die de exploit bevat die in het kernelgeheugen is geladen met behulp van een open-source tool genaamd Kernel Driver Utility (KDU), waarna de exploitstatus wordt gecontroleerd en de VMCI-stuurprogramma’s opnieuw worden ingeschakeld
De belangrijkste verantwoordelijkheid van de bestuurder is het identificeren van de exacte ESXi-versie die op de host draait en het activeren van een exploit voor CVE-2025-22226 en CVE-2025-22224, waardoor de aanvaller uiteindelijk drie payloads rechtstreeks in het geheugen van VMX kan schrijven –
- Fase 1 shellcode, om de omgeving voor te bereiden op de VMX-sandbox-ontsnapping
- Fase 2 shellcode, om voet aan de grond te krijgen op de ESXi-host
- VSOCKpuppet, een 64-bit ELF-achterdeur die permanente toegang op afstand tot de ESXi-host biedt en communiceert via VSOCK-poort 10000 (Virtual Sockets)
“Na het schrijven van de payloads overschrijft de exploit een functieaanwijzer binnen VMX”, legt Huntress uit. “Het slaat eerst de originele pointerwaarde op en overschrijft deze vervolgens met het adres van de shellcode. De exploit stuurt vervolgens een VMCI-bericht naar de host om VMX te activeren.”
“Wanneer VMX het bericht afhandelt, volgt het de beschadigde pointer en springt het naar de shellcode van de aanvaller in plaats van naar legitieme code. Deze laatste fase komt overeen met CVE-2025-22225, die VMware beschrijft als een ‘willekeurige schrijfkwetsbaarheid’ die het mogelijk maakt ‘uit de sandbox te ontsnappen.'”
Omdat VSOCK een direct communicatiepad biedt tussen gast-VM’s en de hypervisor, blijken de bedreigingsactoren een “client.exe” (ook bekend als GetShell Plugin) te gebruiken die kan worden gebruikt vanaf elke gast-Windows-VM op de aangetaste host en commando’s kan terugsturen naar de aangetaste ESXi en kan communiceren met de achterdeur. Uit het PDB-pad dat in het binaire bestand is ingebed, blijkt dat het mogelijk in november 2023 is ontwikkeld.
De client ondersteunt de mogelijkheid om bestanden van ESXi naar de VM te downloaden, bestanden van de VM naar ESXi te uploaden en shell-opdrachten op de hypervisor uit te voeren. Interessant is dat de GetShell-plug-in naar de Windows VM wordt gedropt in de vorm van een ZIP-archief (“Binary.zip”), dat ook een README-bestand met gebruiksinstructies bevat, dat inzicht geeft in de functies voor bestandsoverdracht en opdrachtuitvoering.
Het is momenteel niet duidelijk wie er achter de toolkit zit, maar het gebruik van vereenvoudigd Chinees, gekoppeld aan de verfijning van de aanvalsketen en het misbruik van zero-day-kwetsbaarheden maanden vóór de openbaarmaking ervan, wijst waarschijnlijk op een ontwikkelaar met voldoende middelen die in een Chineessprekende regio opereert, zo theoretiseerde Huntress.
“Deze inbraak demonstreert een geavanceerde, uit meerdere fasen bestaande aanvalsketen die is ontworpen om te ontsnappen aan de isolatie van virtuele machines en de onderliggende ESXi-hypervisor in gevaar te brengen”, voegde het bedrijf eraan toe. “Door een informatielek, geheugencorruptie en sandbox-ontsnapping aan elkaar te koppelen, heeft de bedreigingsacteur bereikt waar elke VM-beheerder bang voor is: volledige controle over de hypervisor vanuit een gast-VM.”
“Het gebruik van VSOCK voor achterdeurcommunicatie is bijzonder zorgwekkend; het omzeilt de traditionele netwerkmonitoring volledig, waardoor detectie aanzienlijk moeilijker wordt. De toolkit geeft ook prioriteit aan stealth boven persistentie.”
