Peneliti Microsoft telah mengamati beberapa Threat Actor ransomware seperti Storm-0506, Storm-1175, Octo Tempest, dan Manatee Tempest yang memanfaatkan kerentanan di hypervisor ESXi untuk mendapatkan kontrol administratif penuh atas server. Kerentanan ini diidentifikasi sebagai CVE-2024-37085 dengan severity Medium (CVSS v3.1: 6.8) yang berpotensi menghentikan operasi, hingga  melakukan eksfiltrasi data jika mendapatkan hak akses administrator.

Kerentanan ini dimanfaatkan oleh Threat actor sebagai bagian dari rangkaian serangan (chain attack) sebagai berikut:

1. 1. Threat Actor menggunakan Qakbot malware, celah keamanan pada OS (contoh: CVE-2023-28252), dan tools credential dumping (Cobalt Strike & Pypykatz) untuk mendapatkan credential milik Admin Domain.
   2. Selanjutnya Threat Actor menggunakan akun Admin Domain untuk membuat group “ESX Admins” dan menambahkan user di dalam group tersebut. Hal ini dilakukan untuk memanfaatkan celah CVE-2024-37085  yang memberlakukan setiap anggota di group “ESX Admins” untuk memiliki hak akses administrative penuh ke hypervisor ESXi.
   3. Pada tahap akhir, Threat Actor menggunakan user dengan hak akses penuh tersebut untuk melancarkan serangan seperti enkripsi pada hypervisor ESXi, melakukan lateral movement ke server-server di dalamnya, atau eksfiltrasi data.