Empresas de servicios jurídicos, proveedores de software como servicio (SaaS), subcontratistas de procesos empresariales (BPO) y sectores tecnológicos de Estados Unidos han sido blanco de un presunto grupo de ciberespionaje vinculado a China para introducir una puerta trasera conocida como BRICKSTORM.

La actividad, atribuida a UNC5221 y a presuntos grupos de amenazas relacionados con China, está diseñada para facilitar el acceso persistente a las organizaciones víctimas durante más de un año, según afirman Mandiant y Google Threat Intelligence Group (GTIG) en un nuevo informe compartido con The Hacker News.

Se estima que el objetivo de BRICKSTORM dirigido a los proveedores de SaaS es obtener acceso a los entornos de los clientes o a los datos que los proveedores de SaaS alojan en nombre de sus clientes, mientras que el objetivo de las esferas jurídica y tecnológica de Estados Unidos es probablemente un intento de recopilar información relacionada con la seguridad nacional y el comercio internacional, así como robar propiedad intelectual para avanzar en el desarrollo de exploits de día cero.

BRICKSTORM fue documentado por primera vez por el gigante tecnológico el año pasado en relación con la explotación de día cero de las vulnerabilidades de día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). También se ha utilizado para atacar entornos Windows en Europa desde al menos noviembre de 2022.

BRICKSTORM, un backdoor basado en Go, viene equipado con capacidades para configurarse a sí mismo como servidor web, realizar la manipulación del sistema de archivos y directorios, llevar a cabo operaciones de archivos como carga/descarga, ejecutar comandos shell y actuar como relé SOCKS. Se comunica con un servidor de mando y control (C2) mediante WebSockets.

A principios de este año, el gobierno estadounidense señaló que el grupo de amenazas alineado con China y rastreado como APT27 (alias Emissary Panda) se solapa con el de Silk Typhoon, UNC5221 y UTA0178. Sin embargo, GTIG declaró en su momento a The Hacker News que no dispone de pruebas suficientes para confirmar el vínculo y que los está tratando como dos clusters.

"Estas intrusiones se llevan a cabo con un enfoque particular en mantener el acceso sigiloso a largo plazo mediante el despliegue de puertas traseras en dispositivos que no admiten herramientas tradicionales de detección y respuesta de puntos finales (EDR)", dijo GTIG, agregando que ha respondido a varias intrusiones desde marzo de 2025.

"El actor emplea métodos para el movimiento lateral y el robo de datos que generan una telemetría de seguridad mínima o nula. Esto, unido a las modificaciones de la puerta trasera BRICKSTORM, les ha permitido permanecer sin ser detectados en los entornos de las víctimas durante 393 días, de media."

En al menos un caso, los autores de la amenaza habrían aprovechado los fallos de seguridad antes mencionados en los dispositivos Ivanti Connect Secure para obtener acceso inicial e instalar BRICKSTORM en dispositivos basados en Linux y BSD de varios fabricantes.

Hay pruebas que sugieren que el malware está en desarrollo activo, con una muestra que incluye un temporizador de "retardo" que espera a una fecha codificada meses en el futuro antes de iniciar el contacto con su servidor C2. La variante BRICKSTORM, según Google, se desplegó en un servidor interno VMware vCenter después de que la organización objetivo hubiera iniciado sus esfuerzos de respuesta a incidentes, lo que indica la agilidad del grupo de piratas informáticos para mantener la persistencia.

Los ataques también se caracterizan por el uso de un filtro Java Servlet malicioso para el servidor Apache Tomcat apodado BRICKSTEAL para capturar credenciales de vCenter para la escalada de privilegios, utilizándolo posteriormente para clonar VMs de Windows Server para sistemas clave como Controladores de Dominio, Proveedores de Identidad SSO y bóvedas secretas.

"Normalmente, la instalación de un filtro requiere la modificación de un archivo de configuración y el reinicio o recarga de la aplicación; sin embargo, el actor utilizó un dropper personalizado que realizaba las modificaciones completamente en memoria, lo que lo hacía muy sigiloso y evitaba la necesidad de reiniciar", explica Google.

Además, se ha descubierto que los actores de la amenaza aprovechan las credenciales válidas para el movimiento lateral con el fin de pasar a la infraestructura de VMware y establecer la persistencia modificando los archivos init.d, rc.local o systemd para garantizar que la puerta trasera se inicie automáticamente al reiniciar el dispositivo.

El objetivo principal de la campaña es acceder a los correos electrónicos de personas clave dentro de las entidades víctimas, incluyendo desarrolladores, administradores de sistemas y personas involucradas en asuntos que se alinean con los intereses económicos y de espionaje de China. La función de proxy SOCKS de BRICKSTORM se utiliza para crear un túnel y acceder directamente a las aplicaciones consideradas de interés para los atacantes.

Google también ha desarrollado un escáner de secuencias de comandos de shell para que las víctimas potenciales averigüen si se han visto afectadas por la actividad de BRICKSTORM en dispositivos y sistemas basados en Linux y BSD, marcando los archivos que coinciden con las firmas conocidas del malware.

"La campaña BRICKSTORM representa una amenaza significativa debido a su sofisticación, la evasión de las defensas de seguridad avanzadas de la empresa, y el enfoque en objetivos de alto valor", dijo Charles Carmakal, CTO de Mandiant Consulting en Google Cloud, en una declaración compartida con The Hacker News.

"El acceso obtenido por UNC5221 les permite pivotar hacia clientes de proveedores de SaaS comprometidos o descubrir vulnerabilidades de día cero en tecnologías empresariales, que pueden ser utilizadas para futuros ataques. Animamos a las organizaciones a cazar BRICKSTORM y otras puertas traseras que puedan residir en sus sistemas que no tengan cobertura de detección y respuesta de puntos finales (EDR)."

Fuente: thehackernews