The Threat CodexJul 25, 2025
Fire Ant: A Deep-Dive into Hypervisor-Level Espionage
#FireAnt #CVE_2023_34048 #CVE_2022_1388 #MedusaRootkit
https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage/
Fire Ant: Hypervisor-Level Espionage Targeting VMware ESXi & vCenter | Sygnia

Discover Sygnia’s investigation into Fire Ant, an advanced cyber-espionage campaign breaching VMware ESXi, vCenter, and network appliances. Learn how the attackers bypassed traditional defenses with hypervisor-level persistence and stealth.

Sygnia
CyberVeille.chJul 24, 2025
📱 Campagne d'espionnage sophistiquĂ©e 'Fire Ant' ciblant VMware
📝 L'actualitĂ© provient de Sygnia et traite d'une campagne de cyber-espionnage sophistiquĂ©e nommĂ©e **Fire Ant**...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-24-campagne-d-espionnage-sophistiquee-fire-ant-ciblant-vmware/
🌐 source : https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage/
#CVE_2023_20867 #CVE_2023_34048 #Cyberveille
Campagne d'espionnage sophistiquée 'Fire Ant' ciblant VMware

L’actualitĂ© provient de Sygnia et traite d’une campagne de cyber-espionnage sophistiquĂ©e nommĂ©e Fire Ant. Cette campagne cible spĂ©cifiquement les infrastructures de virtualisation telles que VMware ESXi et vCenter, en utilisant des techniques au niveau de l’hyperviseur pour Ă©chapper Ă  la dĂ©tection et maintenir un accĂšs persistant. La campagne a exploitĂ© la vulnĂ©rabilitĂ© CVE-2023-34048 pour compromettre initialement vCenter, permettant l’extraction de vpxuser credentials pour accĂ©der Ă  ESXi. Des portes dĂ©robĂ©es persistantes ont Ă©tĂ© dĂ©ployĂ©es via des VIBs non signĂ©s et des fichiers local.sh modifiĂ©s. De plus, la vulnĂ©rabilitĂ© CVE-2023-20867 a Ă©tĂ© utilisĂ©e pour exĂ©cuter des commandes non authentifiĂ©es de l’hĂŽte vers l’invitĂ©.

CyberVeille