Grupo hacker chinês ‘Fire Ant’ explora falha crítica no VMware e compromete ambientes virtuais
Cibercriminosos exploram vulnerabilidades zero-day em servidores VMware vCenter e ESXi, ganham controle total dos sistemas e driblam detecção, levantando alerta global sobre riscos à segurança corporativa
Um sofisticado grupo de ciberespionagem, conhecido como “Fire Ant” e ligado à China, está no centro das atenções internacionais após explorar falhas críticas de segurança em ambientes de virtualização da VMware. Utilizando vulnerabilidades como a CVE-2023-34048 e CVE-2023-20867, os invasores conseguiram acesso irrestrito a servidores vCenter e hosts ESXi, mesmo em infraestruturas atualizadas e protegidas por soluções tradicionais de EDR.
As falhas foram exploradas em ataques do tipo zero-day, ou seja, antes que qualquer correção estivesse disponível. Com isso, os criminosos obtiveram controle completo dos sistemas, roubaram credenciais sensíveis e implantaram backdoors persistentes, como o VIRTUALPITA. A operação chama a atenção por sua furtividade e resiliência, atuando em modo “stealth” e dificultando a detecção pelas ferramentas convencionais de segurança.
Segundo especialistas, uma das técnicas utilizadas envolve invadir as máquinas virtuais diretamente do hipervisor, quebrando a segmentação de rede e desativando logs. Essa abordagem expõe um ponto cego significativo na segurança cibernética corporativa, já que a camada de virtualização, muitas vezes, não possui o mesmo nível de monitoramento dos endpoints tradicionais.
A realidade brasileira também foi mencionada de forma crítica: muitas empresas ainda acreditam que backups feitos internamente ou via snapshot são suficientes para proteger suas infraestruturas. Essa percepção, no entanto, pode deixar brechas perigosas.
Para mitigar riscos desse tipo, especialistas recomendam a adoção de práticas como backup imutável com proteção antimanipulação, recuperação de desastres rápida, monitoramento inteligente de anomalias e ambientes virtualizados segregados e redundantes. Essas medidas aumentam a resiliência contra ataques avançados e reduzem a dependência de um único ambiente virtual.
O caso evidencia a necessidade urgente de reforço na segurança das infraestruturas virtuais, especialmente diante do avanço de grupos especializados em espionagem digital e ataques persistentes.
