Un groupe d’espionnage chinois, identifié sous le nom UNC5221, a utilisé la porte dérobée Brickstorm ainsi que deux logiciels malveillants inédits, Plenet et AgentPSD, pour infiltrer des environnements Microsoft 365.
Les enquêteurs ont découvert que l’attaquant avait accès au réseau de la victime depuis au moins dix-huit mois avant d’être détecté. Ce même groupe avait aussi compromis le fournisseur de services gérés de l’organisation ciblée.
Ce groupe, aussi appelé VerdantBamboo, mène des attaques depuis au moins 2023 qui exploitent des vulnérabilités zero-day sur des équipements réseau périphériques.
La porte dérobée Brickstorm est restée indétectée dans les systèmes de plusieurs cibles américaines pendant plus d’une année, jusqu’à ce que les intrusions soient découvertes vers mars 2025.
Les chercheurs qualifient Brickstorm de « logiciel malveillant implanté avancé ». Les premières versions étaient écrites en Golang, puis de nouvelles variantes codées en Rust sont apparues.
En avril 2024, Google a documenté l’utilisation de cette porte dérobée par UNC5221. Puis en septembre 2025, l’entreprise a décrit des attaques contre des cabinets juridiques, des fournisseurs de logiciels en tant que service, des sous-traitants en gestion de processus et des entreprises technologiques.
L’agence américaine CISA a aussi alerté sur le déploiement de Brickstorm par des pirates chinois contre des serveurs VMware vSphere. Google a récemment rapporté son utilisation par UNC6201 contre la solution Dell RecoverPoint for Virtual Machines.
Une victime piratée à deux reprises
Les chercheurs de Volexity, intervenus sur un incident l’an dernier, ont constaté que VerdantBamboo avait compromis un système Egnyte Storage Sync. L’attaquant y accédait périodiquement via le VPN SSL web de la victime.
À partir de cette position, et en utilisant les fonctionnalités de proxying de Brickstorm ainsi que des identifiants volés, le pirate a pénétré dans l’environnement Microsoft 365 de l’organisation.
Les analystes estiment avec une forte confiance que cette méthode visait à se fondre dans le trafic réseau légitime et à contourner les politiques d’accès conditionnel qui auraient normalement bloqué l’accès.
Volexity a ensuite découvert que les pirates étaient présents sur le réseau depuis au moins dix-huit mois avant détection. De plus, VerdantBamboo a réinfecté l’organisation une seconde fois après que les chercheurs eurent terminé les travaux de remédiation.
Lors de cette seconde intrusion, les attaquants ont utilisé des identifiants volés pour activer et configurer l’accès VPN SSL sur le pare-feu de la victime. Ils se sont ensuite connectés aux systèmes internes et ont déployé un logiciel malveillant supplémentaire sur un appareil Synology NAS.
Cela a déclenché une enquête chez le fournisseur de services gérés du client. Volexity y a trouvé qu’une variante BSD de Brickstorm avait été installée par VerdantBamboo sur un pare-feu pfSense.
Les chercheurs ont conclu que ce pare-feu, tout comme le système Storage Sync de l’organisation victime, avait été compromis au moins dix-huit mois plus tôt.
Ils ont une confiance moyenne pour affirmer que le pirate est passé du fournisseur de services gérés vers l’environnement de l’organisation victime.
Brickstorm a ensuite été déployé sur l’appareil Egnyte Storage Sync de la victime et sur un ancien serveur d’archives de courriels Linux GroupWise.
De nouvelles portes dérobées utilisées
Quand les attaquants sont revenus quelques jours plus tard et ont rétabli l’accès à l’infrastructure de la victime, ils ont déployé le logiciel malveillant sur mesure Plenet sur un appareil Synology NAS.
Plenet, aussi appelé « Grimbolt » par Google, est une porte dérobée multiplateforme basée sur .NET. Elle offre un accès shell interactif, l’exécution de commandes à distance, la manipulation de fichiers et la possibilité de changer de serveur de commande et de contrôle.
Les chercheurs notent que Plenet a une conception similaire à Brickstorm. Il utilise le protocole WebSocket pour les communications avec le serveur de commande et une bibliothèque de multiplexage pour gérer des flux de données simultanés.
AgentPSD est un utilitaire simple de shell inversé basé sur Python. Volexity pense que VerdantBamboo l’utilisait comme mécanisme de persistance de secours si les autres logiciels malveillants devenaient inaccessibles.
Les chercheurs ont découvert qu’AgentPSD était configuré pour se connecter à un domaine différent de celui utilisé par Brickstorm. Cependant, ce malware n’a jamais été utilisé car Brickstorm était toujours actif, ce qui conforte l’idée qu’AgentPSD était un moyen d’accès secondaire.
Pendant l’enquête, Volexity a tenté de découvrir l’infrastructure liée à VerdantBamboo. Les chercheurs ont créé une empreinte pour identifier les adresses IP et les domaines que Brickstorm utilisait pour communiquer avec ses serveurs de commande.
Plusieurs machines ont été identifiées, mais le groupe pirate a mis hors ligne son infrastructure avant que les chercheurs ne puissent révéler d’autres systèmes.
Tous les serveurs qui correspondaient à ce modèle ont désactivé leurs services sur le port 443 entre le 18 et le 23 septembre.
À peu près à cette date, Google a publié un nouveau rapport sur l’activité de Brickstorm, ce qui pourrait indiquer que l’attaquant savait que ses opérations étaient étudiées.
Volexity décrit VerdantBamboo comme un acteur de menace très sophistiqué. Il mélange des techniques de mouvement latéral discret avec des logiciels malveillants, et il cible des systèmes qui ne supportent pas les solutions de détection et de réponse sur les terminaux.
Les chercheurs ont compilé une liste d’indicateurs de compromission liés à la campagne d’UNC5221 qu’ils ont étudiée et l’ont publiée.