Backdoor Brickstorm: le spie cinesi sono rimasti silenti nelle reti critiche per anni
Redazione RHC : 5 Dicembre 2025 10:28
Le spie informatiche cinesi sono rimaste nascoste per anni nelle reti di organizzazioni critiche, infettando le infrastrutture con malware sofisticati e rubando dati, avvertono agenzie governative ed esperti privati.
Secondo un avviso congiunto di CISA, NSA e Canadian Cyber Security Centre, almeno otto agenzie governative e aziende IT sono state vittime della backdoor Brickstorm , che opera in ambienti Linux, VMware e Windows.
La dichiarazione del portavoce di CISA, Nick Andersen, sottolinea anche la portata del problema: afferma che il numero effettivo delle vittime è probabilmente più alto e che Brickstorm stessa è una piattaforma “estremamente avanzata” che consente agli operatori cinesi di radicarsi nelle reti per anni, gettando le basi per il sabotaggio.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.comContattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Supporta Red Hot Cyber attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
In uno degli incidenti indagati da CISA, gli aggressori hanno ottenuto l’accesso a una rete interna nell’aprile 2024, hanno scaricato Brickstorm su un server VMware vCenter e hanno mantenuto l’accesso almeno fino all’inizio di settembre.
Durante questo periodo, sono riusciti a penetrare nei controller di dominio e in un server ADFS, rubando chiavi crittografiche. Google Threat Intelligence, che è stata la prima a descrivere Brickstorm in autunno, esorta tutte le organizzazioni a scansionare la propria infrastruttura. Gli analisti stimano che decine di aziende negli Stati Uniti siano già state colpite da questa campagna e gli aggressori continuano a perfezionare i propri strumenti.
Mandiant collega gli attacchi al gruppo UNC5221 e ha documentato compromissioni in vari settori, dai servizi legali e dai fornitori SaaS alle aziende tecnologiche. Gli esperti sottolineano che l’hacking dei dispositivi edge e l’escalation verso vCenter sono diventate tattiche comuni per gli aggressori, che possono anche prendere di mira vittime a valle.
In un rapporto separato, CrowdStrike attribuisce Brickstorm al gruppo Warp Panda, attivo almeno dal 2022, e descrive vettori di attacco simili, tra cui l’infiltrazione negli ambienti VMware di aziende statunitensi e lo svolgimento di attività di intelligence per il governo cinese.
Secondo CrowdStrike, in diversi casi Warp Panda ha inoltre implementato impianti Go precedentemente sconosciuti, Junction e GuestConduit, su server ESXi e macchine virtuali, e ha preparato dati sensibili per l’esfiltrazione. Alcuni incidenti hanno interessato anche il cloud Microsoft Azure: gli aggressori hanno ottenuto token di sessione, hanno incanalato il traffico attraverso Brickstorm e hanno scaricato materiale sensibile da OneDrive, SharePoint ed Exchange. Sono persino riusciti a registrare nuovi dispositivi MFA, garantendo una persistenza furtiva e a lungo termine negli ambienti guest.
Gli specialisti di Palo Alto Networks confermano la continuità e la profondità della penetrazione di questi gruppi. Secondo gli analisti di Unit 42, gli operatori cinesi utilizzano file unici e backdoor proprietarie per ogni attacco, rendendone estremamente difficile l’individuazione.
La loro prolungata e occulta attività all’interno delle reti rende difficile valutare l’effettivo danno e consente agli aggressori di pianificare operazioni su larga scala molto prima che la loro presenza venga rilevata.
- #cybersecurity
- Brickstorm
- Brickstorm malware
- Canadian Cyber Security Centre
- cisa
- Malware
- nsa
- Palo Alto Networks
- spie cinesi
- UNC5221
- Warp Panda
RedazioneLa redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.Lista degli articoli
