Las empresas de los sectores de servicios legales, proveedores de software como servicio (SaaS), subcontratistas de procesos empresariales (BPO) y tecnología en EE. UU. han sido atacadas por un presunto grupo de ciberespionaje vinculado a China para crear una conocida puerta trasera conocida como TORMENTA DE LADRILLOS .
La actividad, atribuida a la UNC5221 y a grupos de amenazas estrechamente relacionados y presuntamente relacionados con China, está diseñada para facilitar el acceso persistente a las organizaciones víctimas durante más de un año, dijeron Mandiant y Google Threat Intelligence Group (GTIG) dijo en un nuevo informe compartido con The Hacker News.
Se considera que el objetivo de BRICKSTORM dirigido a los proveedores de SaaS es obtener acceso a los entornos intermedios de los clientes o a los datos que los proveedores de SaaS alojan en nombre de sus clientes, mientras que el objetivo de los ámbitos legal y tecnológico de los EE. UU. es probablemente un intento de recopilar información relacionada con la seguridad nacional y el comercio internacional, así como de robar propiedad intelectual para promover el desarrollo de exploits de día cero.
BRICKSTORM fue primera documentadas realizado por el gigante tecnológico el año pasado en relación con la explotación de día cero de las vulnerabilidades de día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). También se ha utilizado para entornos Windows de destino en Europa desde al menos noviembre de 2022.
BRICKSTORM, un backdoor basado en Go, viene equipado con capacidades para configurarse como un servidor web, realizar manipulaciones de sistemas de archivos y directorios, llevar a cabo operaciones de archivos como cargar/descargar, ejecutar comandos de shell y actuar como un relé SOCKS. Se comunica con un servidor de comando y control (C2) mediante WebSockets.
A principios de este año, el gobierno de los EE. UU. apuntado que el grupo de amenazas alineado con China rastreado como APT27 (también conocido como Emissary Panda) se superpone con el de Silk Typhoon, UNC5221 y UTA0178. Sin embargo, GTIG dijo The Hacker News en ese momento dijo que no tenía suficientes pruebas por sí solas para confirmar el enlace y que los estaba tratando como dos grupos.
«Estas intrusiones se llevan a cabo con un enfoque particular en mantener un acceso sigiloso a largo plazo mediante la implementación de puertas traseras en los dispositivos que no admiten las herramientas tradicionales de detección y respuesta de puntos finales (EDR)», afirma GTIG, añadiendo que ha respondido a varias intrusiones desde marzo de 2025.
«El actor emplea métodos de movimiento lateral y robo de datos que generan una telemetría de seguridad mínima o nula. Esto, sumado a las modificaciones introducidas en la puerta trasera de BRICKSTORM, les ha permitido permanecer sin ser detectados en los entornos de las víctimas durante un promedio de 393 días».
Al menos en un caso, se dice que los actores de la amenaza aprovecharon las fallas de seguridad antes mencionadas en los dispositivos Ivanti Connect Secure Edge para obtener un acceso inicial y colocar BRICKSTORM en dispositivos basados en Linux y BSD de varios fabricantes.
Hay pruebas que sugieren que el malware está en desarrollo activo, y una muestra incluye un temporizador de «retraso» que espera una fecha codificada dentro de meses antes de iniciar el contacto con su servidor C2. Según Google, la variante BRICKSTORM se implementó en un servidor interno de VMware vCenter cuando la organización atacada comenzó a responder a los incidentes, lo que demuestra la agilidad del grupo de hackers para mantener la persistencia.
Los ataques también se caracterizan por el uso de un filtro Java Servlet malintencionado para el servidor Apache Tomcat denominado BRICKSTEAL para capturar las credenciales de vCenter para la escalada de privilegios y, posteriormente, usarlo para clonar máquinas virtuales de Windows Server para obtener la clave.
sistemas como controladores de dominio, proveedores de identidad SSO y bóvedas secretas.
«Normalmente, la instalación de un filtro requiere modificar un archivo de configuración y reiniciar o volver a cargar la aplicación; sin embargo, el actor utilizó un cuentagotas personalizado que realizaba las modificaciones completamente en la memoria, lo que lo hacía muy sigiloso y negaba la necesidad de reiniciar», afirma Google.
Además, se ha descubierto que los actores de amenazas aprovechan las credenciales válidas para moverse lateralmente a fin de pasar a la infraestructura de VMware y establecer la persistencia modificando los archivos init.d, rc.local o systemd para garantizar que la puerta trasera se inicie automáticamente al reiniciar el dispositivo.
El objetivo principal de la campaña es acceder a los correos electrónicos de personas clave dentro de las entidades víctimas, incluidos desarrolladores, administradores de sistemas y personas involucradas en asuntos relacionados con los intereses económicos y de espionaje de China. La función de proxy SOCKS de BRICKSTORM se utiliza para crear un túnel y acceder directamente a las aplicaciones que los atacantes consideran de interés.
Google también ha desarrollado un escáner de script shell para que las posibles víctimas averigüen si se han visto afectadas por la actividad de BRICKSTORM en dispositivos y sistemas basados en Linux y BSD marcando los archivos que coincidan con las firmas conocidas del malware.
«La campaña BRICKSTORM representa una amenaza importante debido a su sofisticación, su evasión de las defensas de seguridad empresarial avanzadas y su enfoque en objetivos de alto valor», dijo Charles Carmakal, director de tecnología de Mandiant Consulting en Google Cloud, en un comunicado compartido con The Hacker News.
«El acceso obtenido por la UNC5221 les permite centrarse en los clientes intermedios de proveedores de SaaS comprometidos o descubrir vulnerabilidades de día cero en las tecnologías empresariales, que pueden utilizarse para futuros ataques. Alentamos a las organizaciones a buscar BRICKSTORM y otras puertas traseras que puedan residir en sus sistemas y que no cuenten con cobertura de detección y respuesta de terminales (EDR)».