Chinese hackers misbruikten VMware-lekken al jaar eerder dan ontdekt
Chinese staatshackers beschikten al over een functionele 'exploitkit' voor VMware ESXi-hypervisors ruim een jaar voordat de betreffende kwetsbaarheden openbaar werden gemaakt.
Dat blijkt uit een analyse van beveiligingsbedrijf Huntress naar aanleiding van een incident in december 2025.
Onderzoekers ontdekten dat aanvallers via een gecompromitteerde VPN-verbinding binnendrongen en vervolgens een geraffineerde toolkit gebruikten om uit virtuele machines (VM’s) te breken. Deze zogeheten ‘VM-escape’ is zeer ernstig, omdat het de fundamentele scheiding tussen verschillende virtuele omgevingen doorbreekt. De aanvallers kregen hierdoor directe toegang tot de onderliggende hypervisor, het hart van de serverinfrastructuur.
Toolkit
De code van de toolkit bevat sporen die wijzen op ontwikkeling in februari 2024, terwijl VMware de lekken (CVE-2025-22224 t/m 22226) pas in maart 2025 onthulde en dichte. In de software werden Chinese tekstreeksen gevonden zoals "Alle versies escape – levering".
De aanvallers gingen uiterst voorzichtig te werk: ze schakelden officiële VMware-drivers uit en laadden eigen kwaadaardige modules om ondetecteerbaar te blijven. De ontdekking onderstreept de dreiging van geavanceerde actoren die 'zero-day'-lekken in vitale bedrijfssoftware stilletjes maandenlang exploiteren voordat de buitenwereld, of de fabrikant zelf, op de hoogte is. Bedrijven worden dringend geadviseerd hun ESXi-omgevingen te controleren op sporen van langdurige inbraken.
