CVE-2023-20867 เป็นช่องโหว่ที่มีคะแนนความรุนแรงไม่มากนักอ้างอิงจาก VMware Advisories แต่วิธีการนำไปใช้โดยกลุ่มแฮ็กเกอร์จีนนี้มีเรื่องราวที่ค่อนข้างน่าสนใจไม่น้อย ซึ่งผู้เชี่ยวชาญของ Mandiant เป็นผู้เปิดโปงเส้นทางที่เกิดขึ้น
UNC3886 เป็นกลุ่มแฮ็กเกอร์มือพระกาฬที่เคยแสดงฝีมือด้วยการใช้ช่องโหว่ Zero-day(CVE-2022-41328) บน Fortigate Firewall ซึ่งมีการใช้ Backdoor ที่ชื่อว่า Castletap และ Thincrust ที่ไม่ค่อยเป็นที่รู้จัก ณ เวลานั้น โดยหลังจากผ่านเข้าไปได้มีการฝังตัวอย่างแยบยลใน FortiManager และ FortiAnalyzer แล้วค่อยๆเคลื่อนไหวในเครือข่าย ต่อมายังเข้าไปติดตั้ง Backdoor ในส่วนของ ESXi และ vCenter ด้วยมัลแวร์ VirtualPita และ VirtualPie ซึ่งทั้งสองเป็นจุดร่วมในการโจมตีล่าสุดด้วย โดยความสามารถในส่วน Fortinet ได้แสดงถึงความเข้าใจระบบ FortiOS และ Hardware เป็นอย่างดีที่สามารถทำ reverse engineering ซอฟต์แวร์ FortiOS
อย่างไรก็ดีคนร้ายมีเป้าหมายระดับสูงเช่น หน่วยงานป้องกันประเทศ รัฐบาล โทรคมนาคม และเทคโนโลยีในสหรัฐฯ เอเชียแปซิฟิคและญี่ปุ่น เป้าหมายที่ชื่นชอบเป็นพิเศษคือช่องโหว่ Zero-day ใน Firewall หรือ Virtualize Platform ที่มักไม่มีส่วนของ EDR ทั้งยังมีแนวโน้มใช้มัลแวร์ใหม่ๆ
ในส่วนของภาพการทำงานของ Mandiant จะเห็นได้ว่าคนร้ายสามารถเข้าถึง vCenter ได้ก่อนตามมาด้วย vpxuser credentials ของเครื่อง ESXi Host จากนั้นก็พุ่งตรงต่อเข้าไปที่ ESXi Host เพื่อไปฝัง Backdoor VirtualPita และ VirtualPie ด้วยแพ็กเกจ vSphere Installation Bundles (VIBs) ซึ่งยามปกติคือสิ่งที่ช่วยแอดมินใช้ดูแลและจัดการ ESXi image หลังจากคนร้ายสื่อสารกับ Backdoor บน Host ได้โดยตรงขั้นตอนต่อไปก็คือการใช้ช่องโหว่ CVE-2023-20867 ช่วยรันคำสั่งที่ไม่ต้องพิสูจน์ตัวตนจาก VMware Tools ในท้ายที่ส่งผู้โจมตีก็สามารถเข้าถึงตัว Guest VM โดยระหว่างการสืบสวนของ Mandiant ยังพบมัลแวร์อีกตัวที่ชื่อ VirtualGate ซึ่งรับหน้าที่เป็น Dropper ที่ทำงานใน VM Memory อีกด้วย