O que aconteceu
Pesquisadores da Volexity descobriram que o grupo de espionagem cibernética chinês VerdantBamboo implantou uma variante BSD do backdoor BRICKSTORM em firewalls pfSense e aparelhos de armazenamento Linux. A campanha, detectada durante uma resposta a incidente em setembro de 2025, explorou falhas de escalonamento de privilégios em sistemas Egnyte Storage Sync e utilizou credenciais roubadas para acessar ambientes Microsoft 365 das vítimas. O grupo também é conhecido como Clay Typhoon, UNC5221 e Warp Panda.
Como a APT chinesa atacou
A cadeia de invasão começa com a invasão do provedor de serviços gerenciados (MSP) da vítima. Os atacantes comprometeram o firewall pfSense do MSP com a variante BSD do BRICKSTORM, usando-o como trampolim para alcançar a organização-alvo. No ambiente da vítima, exploraram uma vulnerabilidade de escalonamento de privilégios local no Egnyte Storage Sync — corrigida apenas na versão 13.13, lançada em março de 2026.
Com acesso ao Storage Sync, os atacantes utilizaram as funcionalidades de proxy do BRICKSTORM para acessar o ambiente Microsoft 365 via conexões SSL VPN, misturando o tráfego malicioso com o tráfego legítimo da rede. O acesso persistiu por pelo menos 18 meses antes da detecção.
Após a remediação inicial, o grupo retornou usando credenciais administrativas roubadas para se reconectar ao firewall, configurar novo acesso VPN e implantar dois malwares adicionais em um NAS Synology via SSH:
- PLENET (GRIMBOLT): backdoor multiplataforma em .NET Core com suporte a shell interativo, execução remota de comandos e troca de servidor C2
- AGENTPSD: reverse shell em Python que funciona como mecanismo de fallback caso o implante primário falhe
| Malware | Plataforma | Linguagem | Função principal |
|---|---|---|---|
| BRICKSTORM (BSD) | pfSense / NAS | C (AOT) | Proxy e persistência |
| PLENET / GRIMBOLT | Linux / Windows | .NET Core | Backdoor e C2 |
| AGENTPSD | Linux | Python | Reverse shell (fallback) |
Por que aparelhos são alvos
A estratégia do VerdantBamboo explora um ponto cego comum em operações de segurança: aparelhos de rede como firewalls, NAS e sistemas de sincronização de arquivos geralmente não suportam software EDR tradicional. Ao implantar malwares compilados nativamente para BSD e Linux nesses dispositivos, o grupo garante persistência longeva com baixa probabilidade de detecção.
O PLENET foi observado anteriormente pelo Google em fevereiro de 2026, ligado ao cluster UNC6201, que explorou a vulnerabilidade CVE-2026-22769 (CVSS 10.0) no Dell RecoverPoint como zero-day desde meados de 2024. A sobreposição de ferramentas sugere compartilhamento de infraestrutura entre grupos de espionagem chineses.
Como se proteger
Organizações que utilizam aparelhos de rede baseados em Linux ou BSD devem aplicar patches de firmware assim que disponíveis, monitorar conexões de saída incomuns desses dispositivos e implementar segmentação de rede que isole aparelhos de armazenamento e firewalls internos do resto da infraestrutura. Credenciais administrativas de firewalls e NAS devem usar autenticação multifator e rotação periódica. Auditorias regulares de configuração VPN e revisão de sessões ativas em dispositivos de borda ajudam a identificar acessos não autorizados antes que se tornem persistentes.