Las empresas en los servicios legales, los proveedores de software como servicio (SaaS), los subcontratadores de procesos comerciales (BPO) y los sectores de tecnología en los EE. UU. Han sido atacados por un sospechado de China-Nexus Cyber Espionage Group para ofrecer una puerta trasera conocida referida como Tormenta de ladrillos.
La actividad, atribuida a UNC5221 y estrechamente relacionadas, sospechas de grupos de amenazas de China-Nexus, está diseñada para facilitar el acceso persistente a las organizaciones de víctimas durante más de un año, dijo Mandiant y Google Amenazing Intelligence Group (GTIG) en un nuevo informe compartido con The Hacker News.
Se evalúa que el objetivo de la tormenta de ladrillos dirigida a los proveedores de SaaS es obtener acceso a entornos de clientes aguas abajo o los proveedores de SaaS de datos que organizan en nombre de sus clientes, mientras que la orientación de las esferas legales y tecnológicas de los EE. UU. Es probablemente un intento de recopilar información relacionada con la seguridad nacional y el comercio internacional, así como la propiedad intelectual de robo para avanzar en el desarrollo cero de las explotaciones de los días cero.
Brickstorm fue documentado por primera vez por el gigante tecnológico el año pasado en relación con la explotación del día cero de las vulnerabilidades del día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). También se ha utilizado para apuntar a los entornos de Windows en Europa desde al menos noviembre de 2022.
Una puerta trasera basada en Go, Brickstorm viene equipada con capacidades para configurarse como servidor web, realizar la manipulación del sistema de archivos y el directorio, llevar a cabo operaciones de archivos como cargar/descargar, ejecutar comandos de shell y actuar como un relé de calcetines. Se comunica con un servidor de comando y control (C2) utilizando WebSockets.
A principios de este año, el gobierno de los Estados Unidos señaló que el grupo de amenazas alineado en China rastreó como APT27 (también conocido como Panda Emissary) con el de Silk Typhoon, UNC5221 y UTA0178. Sin embargo, GTIG le dijo a The Hacker News en ese momento que no tiene suficiente evidencia por sí solo para confirmar el enlace y que los está tratando como dos grupos.
«Estas intrusiones se llevan a cabo con un enfoque particular en mantener el acceso sigiloso a largo plazo al implementar las puertas traseras en los electrodomésticos que no admiten herramientas de detección y respuesta de punto final tradicional (EDR)», dijo GTIG, y agregó que ha respondido a varias intrusiones desde marzo de 2025.
«El actor emplea métodos para el movimiento lateral y el robo de datos que generan una telemetría mínima a ninguna de seguridad. Esto, junto con modificaciones en la puerta trasera de tormenta de ladrillos, les ha permitido permanecer sin detectar en entornos de víctimas durante 393 días, en promedio».
En al menos un caso, se dice que los actores de amenaza han explotado los defectos de seguridad antes mencionados en los dispositivos de borde seguro Ivanti Connect para obtener acceso inicial y tormenta de ladrillos. Pero el tiempo de permanencia prolongado y los esfuerzos de la amenaza del actor para borrar rastros de su actividad han hecho difícil determinar el vector de acceso inicial utilizado en otros casos para entregar el malware en los electrodomésticos basados en Linux y BSD de múltiples fabricantes.
Hay evidencia que sugiere que el malware está en desarrollo activo, con una muestra con un temporizador de «retraso» que espera un mes de fecha codificado en el futuro antes de iniciar el contacto con su servidor C2. La variante de Brickstorm, dijo Google, se implementó en un servidor VMware VMware interno después de que la organización específica había comenzado sus esfuerzos de respuesta a incidentes, lo que indica la agilidad del grupo de piratería para mantener la persistencia.
Los ataques también se caracterizan por el uso de un filtro de servlet Java malicioso para el servidor Apache Tomcat denominado Bricksteal para capturar credenciales de vCenter para la escalada de privilegios, posteriormente utilizándolo para clonar las máquinas virtuales de Windows Server para sistemas clave como controladores de dominio, proveedores de identidad SSO y bóvedas secretas.
«Normalmente, instalar un filtro requiere modificar un archivo de configuración y reiniciar o volver a cargar la aplicación; sin embargo, el actor utilizó un gotero personalizado que realizó las modificaciones completamente en la memoria, lo que lo hacía muy sigiloso y negaba la necesidad de un reinicio», dijo Google.
Además, se ha encontrado que los actores de amenaza aprovechan las credenciales válidas para que el movimiento lateral gillee a la infraestructura VMware y establezca la persistencia al modificar los archivos Init.D, RC.Local o Systemd para garantizar que la puerta trasera se inicie automáticamente con el reinicio del dispositivo.
El objetivo principal de la campaña es acceder a los correos electrónicos de personas clave dentro de las entidades víctimas, incluidos los desarrolladores, los administradores del sistema y las personas involucradas en asuntos que se alinean con los intereses económicos y de espionaje de China. La función de proxy de calcetines de Brickstorm se utiliza para crear un túnel y acceder directamente a las aplicaciones consideradas de interés para los atacantes.
Google también ha desarrollado un escáner de script de shell para posibles víctimas para determinar si han sido afectados por la actividad de la tormenta de ladrillos en los electrodomésticos y sistemas basados en Linux y BSD marcando archivos que coinciden con las firmas conocidas del malware.
«La campaña de Brickstorm representa una amenaza significativa debido a su sofisticación, la evasión de las defensas de seguridad empresariales avanzadas y el enfoque en objetivos de alto valor», dijo Charles Carmakal, CTO de Mandiant Consulting en Google Cloud, en un comunicado compartido con The Hacker News.
«El acceso obtenido por UNC5221 les permite pivotar a los clientes aguas abajo de proveedores de SaaS comprometidos o descubrir vulnerabilidades de día cero en tecnologías empresariales, que pueden usarse para futuros ataques. Alentamos a las organizaciones a buscar tormentas de ladrillo y otras respaldos que pueden residir en sus sistemas que no tienen detección de punto final y respuesta (EDR).
