La APT china VerdantBamboo utiliza el malware BRICKSTORM para comprometer firewalls y dispositivos

Un grupo de amenazas vinculado al gobierno chino ha permanecido de forma encubierta dentro de redes corporativas durante más de un año, utilizando herramientas de malware personalizadas para comprometer firewalls, sistemas de almacenamiento y dispositivos de red sin ser detectado. El grupo, identificado como VerdantBamboo, ha demostrado un alto nivel de sofisticación técnica y una estrategia de permanencia prolongada que lo diferencia de muchas otras amenazas avanzadas observadas actualmente.

Investigadores de Volexity, firma especializada en respuesta a incidentes e inteligencia de amenazas, identificaron el malware utilizado en estas operaciones como BRICKSTORM, un troyano de acceso remoto (RAT) que el grupo continúa desarrollando activamente. De acuerdo con un informe compartido por Volexity, VerdantBamboo —también conocido como WARP PANDA y UNC5221— logró mantener acceso a la infraestructura de una organización víctima durante al menos 18 meses antes de ser descubierto.

La investigación reveló que los atacantes no solo comprometieron los sistemas de la organización objetivo, sino también a su proveedor de servicios administrados (MSP). A través de este acceso, obtuvieron credenciales e información detallada sobre la infraestructura interna, lo que les permitió establecer una presencia persistente dentro del entorno comprometido mediante una ruta que evitó los controles de seguridad convencionales.

BRICKSTORM constituye la principal herramienta utilizada por VerdantBamboo para mantener el control sobre los sistemas afectados. El malware fue diseñado específicamente para operar en dispositivos y plataformas donde normalmente no existen soluciones avanzadas de monitoreo o detección de amenazas, como firewalls, sistemas NAS y otros equipos de infraestructura de red.

Entre los indicadores de compromiso (IoC) identificados por los investigadores se encuentran múltiples variantes del malware distribuidas en diferentes entornos. Una de ellas utiliza el nombre egnyte_host_monitor_client y se presenta como un binario ELF de aproximadamente 6,4 MB, identificado como AGENTPSD. También se detectaron variantes de BRICKSTORM en sistemas de sincronización de almacenamiento Egnyte bajo el nombre userput, así como una versión para FreeBSD instalada en dispositivos pfSense bajo el nombre blacklist. Adicionalmente, se descubrió otro implante denominado PLENET en dispositivos Synology NAS.

Los investigadores también identificaron varios mecanismos de persistencia empleados por los atacantes. Entre ellos se incluyen modificaciones en archivos de programación de tareas como /etc/crontab, la creación de entradas maliciosas en /etc/cron.d/ssync y cambios en scripts del sistema para garantizar que los implantes se ejecuten automáticamente después de reinicios o actualizaciones.

Otro hallazgo relevante fue el uso de consultas DNS sobre HTTPS (DoH) a través del servidor DNS público 8.8.8.8 para facilitar las comunicaciones de comando y control (C2). Asimismo, los investigadores detectaron una huella digital específica utilizada para identificar servidores asociados a la infraestructura de BRICKSTORM mediante herramientas de reconocimiento como Censys.

Por razones de seguridad, el informe omite deliberadamente direcciones IP y dominios completos relacionados con la infraestructura maliciosa para evitar resoluciones accidentales o accesos involuntarios. La investigación concluye que VerdantBamboo continúa representando una amenaza significativa para organizaciones que dependen de dispositivos de infraestructura crítica con capacidades limitadas de monitoreo y detección.

La publicación sobre el uso del malware BRICKSTORM por parte del grupo chino VerdantBamboo para comprometer firewalls y dispositivos de red fue publicada originalmente por Cyber Security News.

Consultar publicación original ↗