Grupo de ciberespionagem ligado à China explora VMware e Azure com malware BrickStorm

O grupo de ciberameaças Warp Panda tem explorado dispositivos edge, servidores VMware vCenter e ambientes Microsoft Azure para manter presença prolongada em redes comprometidas nos Estados Unidos. O malware BrickStorm, central nesta operação, garante persistência a longo prazo, permitindo ao ator de ameaça mover-se lateralmente, exfiltrar dados e permanecer indetetável durante meses.

O Warp Panda utiliza credenciais válidas e vulnerabilidades conhecidas para aceder inicialmente às redes, recorrendo a SSH e à conta privilegiada vpxuser em vCenter para movimentação lateral. O malware faz uso de SFTP para transferir dados entre hosts e estabelece túneis de comunicação através do BrickStorm.

Além do BrickStorm, o grupo combina outras famílias de malware desenvolvidas em Golang, como Junction e GuestConduit, que permitem executar comandos, proxy de tráfego de rede e comunicação entre máquinas virtuais convidadas e hipervisores que, ao funcionar em conjunto, aumentam a sofisticação do ataque.

O Warp Panda tem explorado vulnerabilidades em dispositivos Ivanti Connect Secure VPN, servidores VMware vCenter e equipamentos F5 BIG-IP, bem como abusado de API do Microsoft Graph e registado dispositivos de autenticação multifator para aceder a dados do OneDrive, SharePoint e Exchange.

A agência de cibersegurança norte-americana CISA alerta que o malware proporciona persistência prolongada. Num caso documentado, o BrickStorm foi instalado em abril de 2024 num servidor vCenter e só foi detetado mais de um ano depois. O malware incorpora mecanismos de auto-monitorização que reinstalam ou reiniciam o software em caso de interrupção, garantindo operação contínua.

Desde 2022, o grupo tem escondido rastos através da limpeza de logs, alteração de timestamps de ficheiros e desligamento de VM maliciosas. Também recorreu a versões compatíveis do 7-Zip para preparar dados para exfiltração e clonou VM de controladores de domínio.

Especialistas destacam que o Warp Panda visa principalmente entidades na América do Norte e mantém acesso encoberto para suportar operações de recolha de inteligência alinhadas com interesses estratégicos chineses, indicando que estas campanhas de ciberespionagem devem continuar a médio e longo prazo.

O malware BrickStorm, inicialmente detetado num ataque em 2023 contra o MITRE, disfarça-se como processos legítimos do vCenter e combina funcionalidades de gestão de ficheiros com tunneling de tráfego, tornando a deteção particularmente difícil. Investigadores da Google associam-no ao grupo chinês UNC5221, que se manteve oculto em redes comprometidas durante quase quatrocentos dias.