VerdantBamboo compromette MSP e reti aziendali con BRICKSTORM su Egnyte e pfSense

L’attore cinese VerdantBamboo, noto anche come WARP PANDA e UNC5221, è stato identificato da Volexity come responsabile di una sofisticata campagna di compromissione che ha consentito l’accesso persistente a infrastrutture aziendali per almeno diciotto mesi. L’operazione combina compromissione di Managed Services Provider (MSP), abuso di appliance Egnyte Storage Sync, compromissione di firewall pfSense e distribuzione di una famiglia di backdoor composta da BRICKSTORM, AGENTPSD e PLENET. L’indagine, avviata nel settembre 2025, mostra una catena d’attacco estremamente resiliente nella quale il gruppo ottiene inizialmente credenziali dall’MSP, utilizza accessi SSH legittimi, sfrutta configurazioni errate per elevare i privilegi e impiega sistemi compromessi come proxy per accedere agli ambienti Microsoft 365 aggirando le policy di Conditional Access. Anche dopo le attività di remediation, gli operatori riescono a rientrare nell’ambiente vittima sfruttando credenziali amministrative e nuove piattaforme interne. L’operazione evidenzia la crescente attenzione dei gruppi APT cinesi verso infrastrutture periferiche e dispositivi di gestione spesso esclusi dai tradizionali controlli di sicurezza.

L’indagine parte da un’appliance Egnyte Storage Sync compromessa

La scoperta dell’attività malevola avviene quando Volexity identifica traffico anomalo proveniente da una macchina virtuale Linux dedicata alla sincronizzazione file tramite Egnyte Storage Sync. L’appliance stabilisce connessioni verso domini controllati dagli attaccanti dietro infrastrutture Cloudflare, anziché verso i servizi ufficiali del fornitore. Gli analisti osservano inoltre l’utilizzo di richieste DNS over HTTPS (DoH) dirette verso 8.8.8.8, comportamento utilizzato per mascherare la risoluzione dei domini di comando e controllo. L’accesso iniziale avviene tramite SSH sfruttando l’account predefinito egnyteservice, le cui credenziali risultano essere state ottenute dal provider di servizi gestiti che amministrava l’ambiente. Una volta effettuato il login, gli operatori distribuiscono due componenti distinti: BRICKSTORM, utilizzato come principale piattaforma di accesso remoto, e AGENTPSD, mantenuto come meccanismo di fallback in caso di perdita del canale primario.

VerdantBamboo sfrutta una configurazione sudo errata per ottenere privilegi root

Dopo l’accesso iniziale, gli attaccanti individuano una configurazione errata all’interno del file sudoers che permette all’account egnyteservice di eseguire il comando tee con privilegi root. Sebbene apparentemente innocua, questa autorizzazione consente la scrittura arbitraria di file in qualsiasi posizione del filesystem. Gli operatori sfruttano la debolezza per creare temporaneamente un file in /etc/cron.d, utilizzato per eseguire uno script che avvia BRICKSTORM con privilegi elevati. Dopo l’esecuzione, il file cron viene eliminato per ridurre le tracce forensi e limitare la visibilità della persistenza. Questa tecnica permette al gruppo di evitare modifiche permanenti facilmente identificabili e dimostra una profonda conoscenza dei sistemi Linux e dei meccanismi di elevazione privilegi. L’approccio adottato consente di ottenere controllo amministrativo senza ricorrere a exploit kernel o vulnerabilità complesse.

AGENTPSD garantisce un canale di accesso alternativo

Per assicurarsi una presenza di lungo periodo, VerdantBamboo installa anche AGENTPSD, una backdoor più semplice ma estremamente efficace. Il malware è sviluppato in Python e distribuito tramite PyInstaller sotto forma di binario ELF autonomo. Gli attaccanti modificano /etc/crontab affinché il programma venga eseguito automaticamente il giorno 15 di ogni mese alle 14:20 con privilegi root. Il file utilizzato, denominato egnyte_host_monitor_client, stabilisce connessioni verso un’infrastruttura di comando separata da quella impiegata da BRICKSTORM. Sebbene durante i diciotto mesi di compromissione il canale non venga utilizzato attivamente, la sua presenza garantisce agli operatori una possibilità di recupero qualora il malware principale venga individuato o disattivato. Questa strategia evidenzia una pianificazione orientata alla resilienza e alla continuità operativa.

BRICKSTORM trasforma l’appliance in un proxy verso Microsoft 365

Uno degli elementi più sofisticati della campagna riguarda l’utilizzo di BRICKSTORM come piattaforma di proxying. Gli operatori sfruttano le credenziali sottratte per accedere agli ambienti Microsoft 365 della vittima facendo transitare il traffico attraverso l’appliance compromessa. Dal punto di vista delle policy di sicurezza, le connessioni appaiono originate da un sistema interno autorizzato, consentendo di aggirare controlli di Conditional Access, restrizioni geografiche e sistemi di rilevamento basati sulla provenienza dell’accesso. Questa tecnica permette agli attaccanti di consultare email, documenti e risorse cloud senza generare anomalie evidenti nei log di autenticazione. L’appliance compromessa diventa quindi un ponte fidato tra l’attore ostile e l’infrastruttura cloud della vittima, offrendo un vantaggio strategico notevole durante l’intera permanenza nell’ambiente.

Il compromesso si estende al firewall pfSense del provider MSP

L’analisi di Volexity porta rapidamente all’identificazione di un secondo punto di compromissione. Il firewall pfSense utilizzato dal provider MSP presenta infatti una variante di BRICKSTORM compilata specificamente per FreeBSD. Il malware viene individuato nella directory /usr/local/libexec/ipsec/ con il nome blacklist, scelta che contribuisce a mascherarne la presenza tra file di sistema apparentemente legittimi. Per garantire l’avvio automatico, gli attaccanti modificano il file /etc/rc.d/cron, assicurando l’esecuzione del malware a ogni riavvio del dispositivo. Il compromesso del firewall risulta antecedente di almeno diciotto mesi rispetto alla scoperta dell’incidente e rappresenta probabilmente il punto da cui il gruppo ha ottenuto credenziali, configurazioni e informazioni infrastrutturali necessarie per raggiungere il cliente finale. L’attacco evidenzia il rischio crescente associato agli MSP, che continuano a rappresentare bersagli privilegiati per operazioni di compromissione della supply chain.

Il gruppo ritorna dopo la remediation iniziale

Uno degli aspetti più significativi dell’operazione riguarda la capacità di VerdantBamboo di rientrare nell’ambiente dopo le attività di contenimento. Pochi giorni dopo l’isolamento dell’appliance Egnyte e la disattivazione del portale SSL VPN, gli attaccanti riescono nuovamente ad accedere all’infrastruttura. Questa volta sfruttano l’interfaccia amministrativa del firewall esposta su Internet e credenziali amministrative prive di MFA. Una volta ottenuto il controllo del dispositivo, configurano una nuova istanza di SSL VPN e utilizzano tale accesso per raggiungere i sistemi interni. Il ritorno dimostra che il gruppo aveva acquisito una conoscenza approfondita dell’ambiente e possedeva molteplici opzioni operative per ripristinare la presenza qualora uno dei vettori fosse stato neutralizzato.

PLENET amplia il toolkit offensivo sui dispositivi Synology

Dopo il nuovo accesso, gli operatori si spostano verso un dispositivo Synology NAS presente nell’ambiente. Qui abilitano il servizio SSH e distribuiscono un ulteriore malware denominato PLENET. Questa backdoor, precedentemente non documentata pubblicamente, è sviluppata in .NET Core e compilata utilizzando la tecnologia Native AOT di .NET 7, scelta che riduce la dipendenza dal runtime e rende l’analisi più complessa. PLENET viene installato tramite accesso amministrativo e utilizza la stessa infrastruttura di comando e controllo già osservata nelle altre componenti della campagna. La presenza del malware su un NAS evidenzia la volontà di espandere la superficie di persistenza oltre i sistemi tradizionali, sfruttando piattaforme che spesso ospitano grandi quantità di dati aziendali e ricevono minore attenzione da parte dei team di sicurezza.

AGENTPSD è una reverse shell minimale ma efficace

L’analisi tecnica di AGENTPSD mostra un’implementazione relativamente semplice rispetto ad altri strumenti utilizzati dal gruppo. Il malware genera un identificativo univoco basato su hostname e UUID del sistema, quindi comunica con il server C2 tramite richieste HTTPS POST. Gli indirizzi di comando vengono memorizzati con una codifica Base64 modificata che elimina il primo carattere della stringa prima della decodifica. Il malware supporta l’esecuzione di comandi shell, l’aggiornamento degli intervalli di sleep e la modifica della durata massima delle sessioni. Sebbene limitato nelle funzionalità, il componente svolge perfettamente il proprio ruolo di canale di emergenza. La sua semplicità contribuisce inoltre a ridurre la superficie di rilevamento e facilita la distribuzione su sistemi differenti.

BRICKSTORM resta il componente più avanzato dell’arsenale

Tra tutti gli strumenti identificati, BRICKSTORM rappresenta il malware più sofisticato. Disponibile in varianti sviluppate in Golang e Rust, il RAT organizza le proprie funzionalità attraverso moduli asincroni che permettono l’esecuzione remota di comandi, l’implementazione di proxy SOCKS5 e la pubblicazione di servizi web per l’esplorazione del filesystem. La variante osservata su pfSense risulta ulteriormente protetta mediante gobfuscate, tecnica che complica l’analisi statica del codice. L’architettura modulare consente agli operatori di personalizzare il comportamento del malware in funzione del bersaglio, mantenendo un framework comune facilmente adattabile a piattaforme differenti. Questa flessibilità spiega la presenza di versioni compatibili con Linux, FreeBSD e altre architetture utilizzate negli ambienti enterprise.

Diciotto mesi di permanenza dimostrano una notevole maturità operativa

L’intera operazione attribuita a VerdantBamboo evidenzia un livello di sofisticazione elevato e una pianificazione a lungo termine tipica delle campagne di cyber spionaggio sponsorizzate da Stati. Il gruppo compromette inizialmente l’MSP, utilizza le credenziali ottenute per raggiungere il cliente, sfrutta appliance di sincronizzazione file, firewall e NAS come piattaforme di accesso e mantiene molteplici canali di persistenza per garantire continuità operativa. Il dwell time di almeno diciotto mesi dimostra la capacità di operare in modo stealth, evitando attività rumorose e privilegiando il controllo manuale delle operazioni. Il ritorno dopo la remediation e il ritrovamento di BRICKSTORM anche su un server GroupWise legacy confermano una strategia orientata alla ridondanza e alla resilienza. La campagna mostra come infrastrutture apparentemente secondarie, quali appliance di sincronizzazione, firewall gestiti e NAS aziendali, possano diventare punti chiave per il mantenimento di accessi persistenti e per l’elusione delle moderne difese cloud.