Empresas dos setores de serviços jurídicos, provedores de software como serviço (SaaS), Business Process Outsourcers (BPOs) e tecnologia nos Estados Unidos estão sendo alvo de um grupo suspeito de ciberespionagem com ligação à China.
O objetivo é instalar uma backdoor conhecida como BRICKSTORM.
Segundo um relatório conjunto da Mandiant e do Google Threat Intelligence Group (GTIG), compartilhado com o The Hacker News, as ações atribuídas ao grupo UNC5221 e outros clusters relacionados de origem chinesa têm como foco o acesso persistente às redes das vítimas por mais de um ano.
No caso dos provedores SaaS, a intenção do ataque é infiltrar-se em ambientes dos clientes atendidos ou nos dados que esses provedores armazenam em nome dos clientes.
Já o direcionamento aos setores jurídico e tecnológico dos EUA visa coletar informações ligadas à segurança nacional e comércio internacional, além de roubar propriedade intelectual para impulsionar o desenvolvimento de exploits zero-day.
BRICKSTORM foi documentado pela primeira vez no ano passado, ligado à exploração de vulnerabilidades zero-day no Ivanti Connect Secure (CVE-2023-46805 e CVE-2024-21887).
Além disso, o malware vem sendo usado para atacar ambientes Windows na Europa desde novembro de 2022.
Desenvolvido em Go, o BRICKSTORM funciona como uma backdoor com múltiplas funcionalidades: pode se configurar como servidor web, manipular arquivos e diretórios, realizar upload e download, executar comandos no shell e atuar como um proxy SOCKS.
A comunicação com o servidor de comando e controle (C2) é feita via WebSockets.
Mais cedo este ano, o governo dos EUA indicou que o grupo conhecido como APT27 (também chamado Emissary Panda), alinhado à China, tem sobreposição com clusters como Silk Typhoon, UNC5221 e UTA0178.
Entretanto, o GTIG afirmou não dispor de evidências suficientes para confirmar essa ligação, tratando-os como grupos distintos.
De acordo com o GTIG, “essas invasões focam em manter um acesso furtivo e de longo prazo, instalando backdoors em dispositivos que não suportam ferramentas tradicionais de Endpoint Detection and Response (EDR)”.
Desde março de 2025, o grupo respondeu a várias investidas.
Os atacantes usam técnicas de movimentação lateral e roubo de dados que geram pouca ou nenhuma telemetria de segurança.
Modificações no BRICKSTORM permitiram que o grupo permanecesse invisível nas redes afetadas por, em média, 393 dias.
Em pelo menos um incidente, eles exploraram vulnerabilidades do Ivanti Connect Secure para garantir o acesso inicial e instalar o BRICKSTORM.
No entanto, o longo tempo de permanência e a tentativa de apagar vestígios dificultam identificar a origem do ataque em outros casos, especialmente ao comprometer appliance baseados em Linux e BSD de diferentes fabricantes.
Há indícios de que o malware está em constante evolução.
Uma amostra apresenta um temporizador interno que espera uma data codificada meses no futuro antes de se comunicar com o servidor C2.
Uma variante de BRICKSTORM foi até implantada em um servidor interno VMware vCenter após o início das respostas ao incidente pela organização, o que demonstra a agilidade do grupo em manter o acesso.
Os ataques também se destacam pelo uso de um filtro Java Servlet malicioso para o servidor Apache Tomcat, chamado BRICKSTEAL, usado para capturar credenciais do vCenter, permitindo a escalada de privilégios.
Com isso, os invasores clonam máquinas virtuais Windows de sistemas críticos, como Domain Controllers, provedores de identidade SSO e cofres de segredos.
Normalmente, a instalação desse tipo de filtro exige alteração em arquivos de configuração e reinício do servidor.
Porém, o grupo usou um loader customizado que realiza as modificações diretamente na memória, tornando o processo silencioso e sem necessidade de reinicialização.
Além disso, os atacantes exploram credenciais válidas para movimentação lateral dentro da infraestrutura VMware, garantindo persistência ao modificar scripts de inicialização (init.d, rc.local ou systemd) para que o backdoor seja ativado automaticamente em reinícios dos appliances.
O principal objetivo da campanha é acessar e-mails de pessoas-chave nas organizações vítimas, incluindo desenvolvedores, administradores de sistema e envolvidos em áreas de interesse econômico e de espionagem da China.
O recurso proxy SOCKS do BRICKSTORM cria túneis que permitem o acesso direto a aplicações relevantes para os ataque.
Para ajudar possíveis alvos, o Google desenvolveu um scanner em shell script capaz de identificar sinais da atividade do BRICKSTORM em sistemas baseados em Linux e BSD, detectando arquivos que coincidem com assinaturas conhecidas do malware.
Charles Carmakal, CTO da Mandiant Consulting no Google Cloud, destacou em comunicado enviado ao The Hacker News: “A campanha BRICKSTORM representa uma ameaça significativa devido à sua sofisticação, capacidade de evitar defesas avançadas de segurança corporativa e foco em alvos de alto valor”.
“Com o acesso obtido, o grupo UNC5221 pode pivotar para clientes finais de provedores SaaS comprometidos ou descobrir vulnerabilidades zero-day em tecnologias corporativas para futuros ataques. Recomendamos que as organizações busquem identificar a presença do BRICKSTORM e outras backdoors que possam estar em sistemas sem proteção de EDR.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...