Grupo chinês recorre a novo malware em ciberespionagem

O grupo de ciberespionagem chinês UNC5221, também conhecido como VerdantBamboo, foi identificado a utilizar novas variantes de malware para manter acesso prolongado a infraestruturas comprometidas. A operação foi revelada pela Volexity, que detetou a presença do grupo numa organização norte-americana durante, pelo menos, 18 meses antes da descoberta da intrusão.

Segundo a investigação, os atacantes exploraram o backdoor Brickstorm para aceder a ambientes Microsoft 365 e recorreram a duas ferramentas até agora pouco documentadas para reforçar a persistência nos sistemas comprometidos.

O UNC5221 tem sido associado à exploração de vulnerabilidades zero-day em equipamentos de perímetro desde, pelo menos, 2023. A atividade do grupo já tinha sido documentada anteriormente pela Google e pela CISA, que alertaram para a utilização do Brickstorm em servidores VMware vSphere e outros sistemas empresariais.

A investigação da Volexity indica que o grupo comprometeu inicialmente um sistema Egnyte Storage Sync, utilizando posteriormente funcionalidades de proxy do Brickstorm e credenciais roubadas para aceder ao ambiente Microsoft 365 da organização visada. Os investigadores acreditam que esta abordagem permitiu ao grupo ocultar a atividade maliciosa em tráfego legítimo e contornar políticas de acesso condicional.

Após a deteção e remediação do incidente, os atacantes conseguiram regressar ao ambiente comprometido através de credenciais previamente obtidas. Numa segunda intrusão, ativaram o acesso SSL VPN na firewall da organização e implantaram novas ferramentas maliciosas num dispositivo Synology NAS.

Foi durante esta fase que surgiu o malware Plenet, também identificado pela Google como Grimbolt. Trata-se de um backdoor multiplataforma, capaz de executar comandos remotamente, manipular ficheiros e comunicar com servidores de comando e controlo através do protocolo WebSocket.

Os investigadores identificaram ainda o AgentPSD, uma ferramenta simples desenvolvida em Python que funciona como reverse shell. A Volexity considera que esta solução foi preparada como mecanismo alternativo de persistência.

A análise revelou igualmente o comprometimento do fornecedor de serviços geridos da organização alvo.

Segundo a Volexity, o UNC5221 combina técnicas living-off-the-land com malware personalizado, privilegiando sistemas onde não existem soluções de EDR. Esta abordagem dificulta a deteção e permite manter operações de longo prazo sem gerar sinais evidentes de atividade maliciosa.

Os investigadores classificam o grupo como um dos atores de ameaça mais sofisticados atualmente ativos no ecossistema de ciberespionagem. A campanha demonstra a crescente utilização de múltiplos mecanismos de persistência e o foco em infraestruturas críticas de terceiros para garantir acesso continuado aos alvos.