Gli hacker legati alla Cina hanno colpito le aziende tecnologiche statunitensi con il malware BRICKSTORM

Un gruppo di hacker con legami con la Cina è stato sorpreso a condurre un'operazione di spionaggio a lungo termine contro aziende statunitensi. I ricercatori di sicurezza informatica di Mandiant ( parte del Google Threat Intelligence Group ) stanno monitorando questa minaccia, denominata BRICKSTORM, che prende di mira sistemi operativi specializzati come Linux e BSD (Berkeley Software Distribution).

L'indagine di Mandiant dimostra che la missione del gruppo è rubare preziosa proprietà intellettuale e informazioni sensibili relative alla sicurezza nazionale e al commercio internazionale. Questi hacker hanno mantenuto l'accesso per un periodo di tempo preoccupantemente lungo, in media 393 giorni, prendendo di mira principalmente i settori dei servizi legali, della tecnologia, del SaaS e dei Business Process Outsourcer (BPO) almeno da marzo 2025.

Gli hacker, identificati da Mandiant come UNC5221, che erano anche responsabili dello sfruttamento su larga scala della vulnerabilità zero-day di Ivanti VPN nel gennaio 2025 , utilizzano un nuovo malware BRICKSTORM in linguaggio Go appositamente progettato. Anche in questo caso, il gruppo sfrutta le vulnerabilità zero-day per infettare dispositivi di rete e server con malware.

Secondo il post sul blog di Mandiant, questo accesso iniziale viene costantemente utilizzato per migrare verso sistemi di alto valore, in particolare host VMware vCenter ed ESXi. Per raggiungere questo obiettivo, gli aggressori prima distribuiscono BRICKSTORM su un'appliance di rete, rubano credenziali valide e poi si spostano lateralmente tramite SSH sul server vCenter.

I ricercatori spiegano inoltre che BRICKSTORM è dotato della funzionalitàproxy SOCKS, che consente agli aggressori di incanalare il traffico e muoversi silenziosamente attraverso la rete. Una volta completata questa operazione, catturano gli accessi degli utenti con privilegi elevati, utilizzando i dispositivi di rete dell'organizzazione per nascondere le proprie attività.

Il malware è in fase di sviluppo attivo e utilizza tecniche di "offuscamento avanzato" (come lo strumento Garble e una libreria interna personalizzata) per eludere continuamente le misure di sicurezza.

Mandiant ritiene che gli hacker siano concentrati su obiettivi a lungo termine, a partire dalla compromissione dei fornitori di Software as a Service (SaaS) per poi estendersi alle reti dei loro clienti.

Inoltre, un obiettivo comune osservato in questi attacchi è l'accesso alle e-mail di personale critico, in particolare amministratori di sistema e sviluppatori rilevanti per gli interessi economici e di spionaggio della Repubblica Popolare Cinese (RPC). Per infiltrarsi in qualsiasi casella di posta, gli autori della minaccia hanno utilizzato applicazioni aziendali Microsoft Entra ID con ambiti di accesso elevati (come mail.read o full_access_as_app ).

Mandiant consiglia vivamente alle aziende di impegnarsi a migliorare la propria sicurezza informatica. L'azienda ha anche condiviso uno script di scansione gratuito sulla sua pagina GitHub, che le organizzazioni possono utilizzare per verificare la presenza della backdoor BRICKSTORM nei propri sistemi basati su Linux.

Ensar Seker , CISO di SOCRadar, ha riflettuto sulla gravità della campagna. Nel suo esclusivo approfondimento condiviso con Hackread.com, Seker ha affermato che BRICKSTORM è un "campanello d'allarme". Ha spiegato che la strategia degli aggressori conferisce loro un "effetto moltiplicatore sulla portata" perché, penetrando nei provider di servizi, ottengono "percorsi per raggiungere i loro clienti e partner".

Seker ha sottolineato che questa operazione consiste nello "sviluppare capacità in grado di supportare molteplici attacchi futuri" rubando progetti interni e imparando come aggirare le difese. Dal punto di vista della difesa, consiglia alle aziende di "presupporre che qualsiasi fornitore di cui si fidano possa essere compromesso, non in futuro, ma immediatamente", richiedendo loro di adottare misure di sicurezza più rigorose e "architetture zero-trust" per le connessioni con i fornitori.

"In poche parole, Brickstorm è un campanello d'allarme: gli avversari non trattano più le aziende di alto valore come endpoint da sfruttare, ma come nodi di una rete di intelligence e accesso più ampia. Per difendersi da questo fenomeno, dobbiamo pensare in termini di ecosistemi e accettare compromessi, non solo per noi stessi, ma per ogni parte connessa", ha consigliato Seker.