Một nhóm gián điệp mạng có liên kết với Trung Quốc đã bị phát hiện đang triển khai một biến thể BSD của mã độc backdoor nổi tiếng mang tên BRICKSTORM, cùng với hai dòng mã độc khác có mật danh PLENET (còn gọi là GRIMBOLT) và AGENTPSD để tấn công các hệ thống Linux.
Volexity đã quy kết hoạt động này cho một cụm mối đe dọa mà họ theo dõi dưới cái tên VerdantBamboo. Nhóm này được cho là có sự trùng lặp với các nhóm tin tặc Clay Typhoon (Microsoft), UNC5221 (Google) và Warp Panda (CrowdStrike).
Công ty an ninh mạng này cho biết họ đã phát hiện vụ xâm nhập trong một đợt ứng cứu sự cố vào tháng 9 năm 2025. Cuộc điều tra cho thấy kẻ tấn công đã xâm nhập vào hệ thống Egnyte Storage Sync của một nạn nhân (giấu tên) bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ để triển khai BRICKSTORM. Vấn đề này đã được khắc phục trong phiên bản Storage Sync 13.13, phát hành vào tháng 3 năm 2026.
"Thiết bị này đã bị VerdantBamboo truy cập định kỳ thông qua các địa chỉ IP được cấp từ web SSL VPN của tổ chức nạn nhân," các nhà nghiên cứu Damien Cash, Paul Rascagneres, Steven Adair và Tom Lancaster cho biết trong một báo cáo kỹ thuật được công bố tuần trước.
"Kẻ tấn công đã sử dụng khả năng proxy của mã độc được triển khai trên hệ thống Storage Sync, cùng với các thông tin đăng nhập bị đánh cắp, để truy cập vào môi trường Microsoft 365 (M365) của nạn nhân."
Người ta đánh giá rằng các bước này được thực hiện nhằm trà trộn vào lưu lượng mạng hợp lệ và vượt qua các chính sách Conditional Access, với lần xâm nhập đầu tiên xảy ra ít nhất 18 tháng trước đó.
Sau đợt xử lý ban đầu, VerdantBamboo được cho là đã quay trở lại, tiếp tục xâm nhập vào chính tổ chức đó bằng cách sử dụng thông tin quản trị viên bị đánh cắp để kết nối với firewall. Sau đó, chúng lạm dụng quyền truy cập đó để cấu hình quyền truy cập web SSL VPN vào thiết bị, kết nối với các hệ thống khác và triển khai thêm mã độc vào thiết bị Synology Network Attached Storage (NAS).
Tấn công thông qua nhà cung cấp dịch vụ quản trị (MSP)
Cuộc điều tra mở rộng sau đó đã phát hiện ra rằng kẻ tấn công thực tế đã xâm nhập vào Nhà cung cấp Dịch vụ Quản trị (MSP) của tổ chức nạn nhân. Cụ thể, chúng đã lây nhiễm biến thể BSD của BRICKSTORM vào firewall pfSense của MSP này vào khoảng thời gian hệ thống Storage Sync của nạn nhân bị tấn công.
Giới chuyên gia tin rằng nạn nhân đã bị xâm nhập thông qua lỗ hổng từ phía MSP. Hai dòng mã độc được triển khai lên thiết bị NAS thông qua SSH bao gồm:
- PLENET (hay GRIMBOLT): Một backdoor đa nền tảng được phát triển bằng .NET Core và một phiên bản mới của BRICKSTORM được biên dịch bằng phương pháp native ahead-of-time (AOT). Nó hỗ trợ shell tương tác, thực thi lệnh từ xa, thao tác tệp và chuyển đổi máy chủ điều khiển (C2).
- AGENTPSD: Một reverse shell dựa trên Python, có khả năng đóng vai trò là phương án dự phòng trong trường hợp mã độc chính ngừng hoạt động.
Đáng chú ý, việc sử dụng PLENET trong thực tế đã được Google báo cáo vào đầu tháng 2 vừa qua, liên quan đến các cuộc tấn công của một cụm mối đe dọa nghi ngờ có liên kết với Trung Quốc mang tên UNC6201. Nhóm này đã khai thác một lỗ hổng trong Dell RecoverPoint cho Virtual Machines (CVE-2026-22769, điểm CVSS: 10.0) dưới dạng Zero-Day từ giữa năm 2024.
Sự tinh vi của VerdantBamboo
"VerdantBamboo là một tác nhân đe dọa có trình độ cao, luôn tìm cách tận dụng sự kết hợp giữa các kỹ thuật Living-off-the-land và triển khai mã độc trên các hệ thống vốn không thể hoặc thường không chạy phần mềm EDR," Volexity nhận định.
"Tác nhân này dường như có kiến thức sâu sắc về các thiết bị độc quyền, cho phép chúng triển khai mã độc với các cơ chế duy trì sự hiện diện (persistence) tùy chỉnh. Chúng cũng thể hiện kỷ luật an ninh vận hành tốt khi chỉ sử dụng một số lượng hạn chế các tên miền và địa chỉ IP cho mỗi nạn nhân, đồng thời thiết lập cách đặt tên mã độc và cơ chế duy trì riêng biệt cho từng thiết bị."