Um grupo de espionagem cibernética associado à China foi flagrado usando uma variante para BSD de um backdoor conhecido como BRICKSTORM, além de duas outras famílias de malware com os nomes de código PLENET, também chamada GRIMBOLT, e AGENTPSD, para atingir sistemas Linux.
A atividade foi atribuída pela Volexity a um cluster de ameaças que acompanha sob o nome VerdantBamboo e que, segundo a empresa, se sobrepõe a grupos de invasão conhecidos como Clay Typhoon, da Microsoft, UNC5221, do Google, e Warp Panda, da CrowdStrike.
A empresa de cibersegurança informou que descobriu a intrusão durante um trabalho de resposta a incidentes em setembro de 2025. Na ocasião, ficou claro que o adversário havia comprometido o sistema Egnyte Storage Sync de uma vítima não identificada ao explorar uma falha local de escalonamento de privilégios para instalar o BRICKSTORM, cujo problema foi corrigido na versão 13.13 do Storage Sync, lançada em março de 2026.
“O equipamento havia sido acessado periodicamente pelo VerdantBamboo por meio de endereços IP atribuídos pela VPN SSL web da organização vítima”, afirmaram os pesquisadores Damien Cash, Paul Rascagneres, Steven Adair e Tom Lancaster em um relatório técnico publicado na semana passada. “O threat actor usou os recursos de proxy do malware, implantado no sistema Storage Sync, junto com credenciais comprometidas, para acessar o ambiente Microsoft 365 (M365) da vítima.”
A avaliação é de que essas etapas foram usadas para se misturar ao tráfego legítimo da rede e driblar as políticas de Acesso Condicional, com a invasão inicial ocorrendo há pelo menos 18 meses.
Depois da remediação inicial, o VerdantBamboo teria voltado à carga e violado a mesma organização ao usar credenciais administrativas roubadas para se conectar ao firewall. Em seguida, abusou desse acesso para configurar o acesso por VPN SSL web ao equipamento, se conectar a outros sistemas e instalar malware adicional em um dispositivo Synology Network Attached Storage (NAS).
Investigações posteriores revelaram que o threat actor, na verdade, havia comprometido o Provedor de Serviços Gerenciados, ou MSP, da vítima. Mais especificamente, infectou o firewall pfSense do MSP com uma variante para BSD do BRICKSTORM aproximadamente no mesmo período em que o sistema Storage Sync da vítima também havia sido invadido. Acredita-se que a vítima tenha sido comprometida por meio da invasão do MSP pelo threat actor.
As duas famílias de malware implantadas no equipamento NAS via SSH são as seguintes: PLENET, também chamado GRIMBOLT, um backdoor multiplataforma desenvolvido em .NET Core, e uma nova versão do BRICKSTORM compilada com compilação nativa ahead-of-time, ou AOT. Ele oferece shell interativa, execução remota de comandos, manipulação de arquivos e troca de servidor de comando e controle, ou C2.
AGENTPSD, um reverse shell baseado em Python que provavelmente funciona como mecanismo de contingência caso o implante principal pare de operar.
Vale destacar que o uso do PLENET em ambiente real foi relatado pelo Google em fevereiro deste ano, em conexão com ataques atribuídos a um cluster de ameaças suspeito ligado à China, batizado de UNC6201. Esse grupo explorou uma vulnerabilidade no Dell RecoverPoint for Virtual Machines, identificada como
CVE-2026-22769
e com CVSS de 10,0, como zero-day desde meados de 2024.
“O VerdantBamboo é um threat actor altamente sofisticado, que busca combinar técnicas de living-off-the-land com a implantação de malware em sistemas que tradicionalmente não executam, ou não conseguem executar, software de EDR”, afirmou a Volexity.
“Esse threat actor parece ter bom conhecimento de equipamentos proprietários, o que lhe permite implantar malware com mecanismos de persistência personalizados. Também demonstra disciplina de segurança operacional, com uso de um número limitado de domínios e endereços IP por vítima, além da criação de nomes de implantes e persistência sob medida para cada dispositivo.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...