Исследователи из Huntress сообщили о выявленной в декабре атаке, следы которой ведут в Китай (судя по оставшимся в бинарниках именам каталогов на китайском). Первичное проникновение произошло с помощью скомпрометированного приложения SonicWall VPN, после чего атакующие получили доступ к администрированию домена и загрузили собственно тулкит, использующий ряд уязвимостей ESXi, о которых Broadcom сообщила в мае прошлого года. Что любопытно, все в тех же pdb-путях из бинарников засветился каталог с именем 2024_02_19, что как бы намекает на то, что часть уязвимостей использовалась еще за год с лишним до исправления.

Среди прочих файлов лежал readme с инструкциями по использованию, плюс сама структура тулкита оказалась модульной, потенциально дающей возможность переезда на другой набор уязвимостей. Что опять же намекает на коммерческую схему использования.

[ритуальные слова о необходимости обновляться и читать рекомендации производителя (даже с учетом очень специфического сценария проникновения) пропущены]