網路安全公司 Sygnia 報告稱，中國國家級駭客組織正積極利用網路設備（如 Cisco、F5）和虛擬化平台（如 VMware、Citrix）中的漏洞，目標是滲透原本受到嚴格保護的隔離網路環境。此趨勢顯示中國駭客的技術持續精進，對各國關鍵基礎設施和敏感資訊構成嚴重威脅。台灣應用軟件提醒企業組織高度關注相關資安警訊，加強防禦措施。

該駭客組織被稱為Fire Ant，它透過入侵虛擬化和網路設備來獲取對受限和分段環境的存取權限。Fire Ant 專注於基礎設施，使用受感染的設備進行初始存取、橫向移動和持久性，並且據觀察利用虛擬化主機使用未經身份驗證的主機到客戶機命令和受感染的憑證訪問客戶機環境。

作為分析入侵的一部分，該網路間諜組織利用CVE-2023-34048（一個導致未經身份驗證的遠端程式碼執行的嚴重 vCenter Server 漏洞）來接管虛擬化管理階層。駭客利用從 vCenter 中提取的「vpxuser」服務帳戶憑證，轉向已連接的 ESXi 主機，在整個環境中部署持久後門。接下來，他們與客戶虛擬機器進行交互，利用CVE-2023-20867這一 ESXi 漏洞，該漏洞允許未經身份驗證的主機到客戶機操作。

駭客還被發現透過可信任系統進行隧道攻擊，系統地繞過分段，訪問隔離網絡，並建立跨分段持久性。駭客利用CVE-2022-1388來破壞 F5 負載平衡器，以便部署能夠在不同網路之間進行橋接的 Webshell。Sygnia 指出：“威脅行為者對目標環境的網路架構和策略有著深刻的理解，能夠有效地利用分段控制來獲取內部、可能孤立的資產。”

網路安全公司公佈了所觀察到的活動和工具的技術細節，並指出其發現與先前歸因於中國網路間諜組織UNC3886的 TTP 有很大的重疊。Fire Ant 和 UNC3886 不僅利用了相同的針對虛擬化和網路基礎設施的漏洞，還在攻擊中使用了相同的惡意軟體，包括 VirtualPita 後門。 Fire Ant 的工作時間和輸入錯誤表明其與中國和中文鍵盤佈局有關。