Las empresas en los servicios legales, los proveedores de software como servicio (SaaS), los subcontratadores de procesos comerciales (BPO) y los sectores de tecnología en los EE. UU. Han sido atacados por un sospechado de China-Nexus Cyber Espionage Group para ofrecer una puerta trasera conocida referida como Tormenta de ladrillos.
La actividad, atribuida a UNC5221 y estrechamente relacionadas, sospechas de grupos de amenazas de China-Nexus, está diseñada para proveer el comunicación persistente a las organizaciones de víctimas durante más de un año, dijo Mandiant y Google Amenazing Intelligence Group (GTIG) en un nuevo mensaje compartido con The Hacker News.
Se evalúa que el objetivo de la tormenta de ladrillos dirigida a los proveedores de SaaS es obtener comunicación a entornos de clientes aguas debajo o los proveedores de SaaS de datos que organizan en nombre de sus clientes, mientras que la orientación de las esferas legales y tecnológicas de los EE. UU. Es probablemente un intento de compendiar información relacionada con la seguridad doméstico y el comercio internacional, así como la propiedad intelectual de robo para avanzar en el incremento cero de las explotaciones de los días cero.
Brickstorm fue documentado por primera vez por el coloso tecnológico el año pasado en relación con la explotación del día cero de las vulnerabilidades del día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). Todavía se ha utilizado para apuntar a los entornos de Windows en Europa desde al menos noviembre de 2022.
Una puerta trasera basada en Go, Brickstorm viene equipada con capacidades para configurarse como servidor web, realizar la manipulación del sistema de archivos y el directorio, sobrellevar a término operaciones de archivos como cargar/descargar, ejecutar comandos de shell y representar como un relé de calcetines. Se comunica con un servidor de comando y control (C2) utilizando WebSockets.
A principios de este año, el gobierno de los Estados Unidos señaló que el corro de amenazas afiliado en China rastreó como APT27 (incluso conocido como Panda Emissary) con el de Silk Typhoon, UNC5221 y UTA0178. Sin retención, GTIG le dijo a The Hacker News en ese momento que no tiene suficiente evidencia por sí solo para confirmar el enlace y que los está tratando como dos grupos.
“Estas intrusiones se llevan a término con un enfoque particular en apoyar el comunicación sigiloso a dilatado plazo al implementar las puertas traseras en los electrodomésticos que no admiten herramientas de detección y respuesta de punto final tradicional (EDR)”, dijo GTIG, y agregó que ha respondido a varias intrusiones desde marzo de 2025.
“El actor emplea métodos para el movimiento limítrofe y el robo de datos que generan una telemetría mínima a ninguna de seguridad. Esto, anejo con modificaciones en la puerta trasera de tormenta de ladrillos, les ha permitido permanecer sin detectar en entornos de víctimas durante 393 días, en promedio”.
En al menos un caso, se dice que los actores de amenaza han explotado los defectos de seguridad antaño mencionados en los dispositivos de borde seguro Ivanti Connect para obtener comunicación auténtico y tormenta de ladrillos. Pero el tiempo de permanencia prolongado y los esfuerzos de la amenaza del actor para borrar rastros de su actividad han hecho difícil determinar el vector de comunicación auténtico utilizado en otros casos para entregar el malware en los electrodomésticos basados en Linux y BSD de múltiples fabricantes.
Hay evidencia que sugiere que el malware está en incremento activo, con una muestra con un temporizador de “retraso” que calma un mes de vencimiento codificado en el futuro antaño de iniciar el contacto con su servidor C2. La variable de Brickstorm, dijo Google, se implementó en un servidor VMware VMware interno posteriormente de que la ordenamiento específica había comenzado sus esfuerzos de respuesta a incidentes, lo que indica la agilidad del corro de piratería para apoyar la persistencia.
Los ataques incluso se caracterizan por el uso de un filtro de servlet Java taimado para el servidor Apache Tomcat denominado Bricksteal para capturar credenciales de vCenter para la ascensión de privilegios, seguidamente utilizándolo para clonar las máquinas virtuales de Windows Server para sistemas secreto como controladores de dominio, proveedores de identidad SSO y bóvedas secretas.
“Normalmente, instalar un filtro requiere modificar un archivo de configuración y reiniciar o retornar a cargar la aplicación; sin retención, el actor utilizó un cuentagotas personalizado que realizó las modificaciones completamente en la memoria, lo que lo hacía muy sigiloso y negaba la indigencia de un reinicio”, dijo Google.
Encima, se ha antitético que los actores de amenaza aprovechan las credenciales válidas para que el movimiento limítrofe gillee a la infraestructura VMware y establezca la persistencia al modificar los archivos Init.D, RC.Nave o Systemd para asegurar que la puerta trasera se inicie automáticamente con el reinicio del dispositivo.
El objetivo principal de la campaña es conseguir a los correos electrónicos de personas secreto adentro de las entidades víctimas, incluidos los desarrolladores, los administradores del sistema y las personas involucradas en asuntos que se alinean con los intereses económicos y de espionaje de China. La función de proxy de calcetines de Brickstorm se utiliza para crear un túnel y conseguir directamente a las aplicaciones consideradas de interés para los atacantes.
Google incluso ha desarrollado un escáner de script de shell para posibles víctimas para determinar si han sido afectados por la actividad de la tormenta de ladrillos en los electrodomésticos y sistemas basados en Linux y BSD marcando archivos que coinciden con las firmas conocidas del malware.
“La campaña de Brickstorm representa una amenaza significativa conveniente a su sofisticación, la despreocupación de las defensas de seguridad empresariales avanzadas y el enfoque en objetivos de suspensión valía”, dijo Charles Carmakal, CTO de Mandiant Consulting en Google Cloud, en un comunicado compartido con The Hacker News.
“El comunicación obtenido por UNC5221 les permite pivotar a los clientes aguas debajo de proveedores de SaaS comprometidos o descubrir vulnerabilidades de día cero en tecnologías empresariales, que pueden estar de moda para futuros ataques. Alentamos a las organizaciones a apañarse tormentas de tesela y otras respaldos que pueden residir en sus sistemas que no tienen detección de punto final y respuesta (EDR).
