Se observó que un grupo de ciberespionaje alineado con China implementaba una conocida variante de BSD de puerta trasera llamada BRICKSTORM y otras dos familias de malware con nombre en código PLENET (también conocido como GRIMBOLT) y AGENTPSD dirigidas a sistemas Linux.
Volexity atribuye esta actividad a un grupo de amenazas que rastrea como VerdantBamboo, que, según dice, se superpone con grupos de piratería conocidos como ClayTyphoon (Microsoft), UNC5221 (Google) y Warp Panda (CrowdStrike).
La empresa de ciberseguridad anunció que descubrió la intrusión durante una operación de respuesta a incidentes en septiembre de 2025. Luego se reveló que un adversario había explotado una falla de escalada de privilegios local para implementar BRICKSTORM y comprometer el sistema Egnyte Storage Sync de una víctima anónima. Este problema se resolvió en la versión 13.13 de Storage Sync lanzada en marzo de 2026.
«VerdantBamboo accedió regularmente a este dispositivo a través de una dirección IP asignada a través de la VPN SSL web de la organización víctima», dijeron los investigadores Damien Cash, Paul Rascagneres, Steven Adair y Tom Lancaster en un informe técnico publicado la semana pasada.
«El atacante aprovechó la funcionalidad de proxy del malware implementado en el sistema Storage Sync y comprometió las credenciales para obtener acceso al entorno Microsoft 365 (M365) de la víctima».
Estas medidas se tomaron para integrarse con el tráfico legítimo de la red y eludir las políticas de acceso condicional, y se estima que la infracción inicial ocurrió hace al menos 18 meses.
Después de la solución inicial, VerdantBamboo supuestamente planeó una recaída, utilizando credenciales administrativas robadas para conectarse al firewall y explotando ese acceso para configurar el acceso VPN SSL web al dispositivo, conectarse a otros sistemas e implementar malware adicional en dispositivos Synology Network Attached Storage (NAS).
Una investigación más profunda reveló que los atacantes efectivamente habían comprometido al proveedor de servicios administrados (MSP) de la organización víctima, infectando específicamente el firewall pfSense del MSP con una variante BSD de BRICKSTORM aproximadamente al mismo tiempo que el sistema de sincronización de almacenamiento de la víctima también se vio comprometido.
Se cree que la víctima fue comprometida por un atacante que comprometió a MSP. Las dos familias de malware que se implementan en dispositivos NAS a través de SSH son:
PLENET (también conocido como GRIMBOLT) es una puerta trasera multiplataforma desarrollada en .NET Core y es una nueva versión de BRICKSTORM compilada utilizando compilación nativa AOT (Ahead-of-Time). Admite shells interactivos, ejecución remota de comandos, operaciones de archivos y conmutación de servidores de comando y control (C2). AGENTPSD: una carcasa inversa basada en Python que puede servir como respaldo si falla el implante primario.
Vale la pena señalar que Google informó sobre el uso real de PLENET a principios de febrero de este año en relación con un ataque de un grupo de amenazas sospechoso vinculado a China conocido como UNC6201 que aprovechó la vulnerabilidad Dell RecoverPoint para máquinas virtuales (CVE-2026-22769, puntuación CVSS: 10.0) como día cero desde mediados de 2024.
«VerdantBamboo es un atacante altamente sofisticado que busca utilizar una combinación de técnicas residentes y despliegue de malware en sistemas que tradicionalmente no ejecutan o no pueden ejecutar software EDR», dijo Volexity.
«Este atacante parece tener un conocimiento significativo de sus dispositivos patentados, lo que permite la implementación de malware con mecanismos de persistencia personalizados. También parece tener disciplinas de seguridad operativa destinadas a aprovechar un número limitado de dominios y direcciones IP por víctima, y establecer nombres de implantes personalizados y persistencia por dispositivo».
Source link
