Especialistas de Google Threat Intelligence Group (GTIG) han revelado una campaña de ciberespionaje de gran alcance en la que la agrupación presuntamente vinculada a China UNC5221 desplegó la backdoor Brickstorm para comprometer organizaciones en Estados Unidos. Según GTIG, los atacantes mantuvieron permanencia en las redes víctimas durante una media de 393 días, un indicador de disciplina operativa elevada y capacidades avanzadas de ocultación.
Backdoor Brickstorm: capacidades, C2 y riesgos
Brickstorm es una backdoor polivalente escrita en Go, observada por primera vez por Google en abril de 2024. Combina funciones de servidor web, gestor de archivos, dropper, SOCKS relay y ejecución de comandos de shell. Esta arquitectura permite mantener comunicaciones resilientes con el servidor de command and control (C2), ejecutar acciones de postexplotación y exfiltrar datos con bajo perfil.
Para evadir la detección por reputación de dominios y análisis de tráfico, los operadores camuflaron el C2 como si fuera tráfico legítimo de Cloudflare y Heroku. Esta táctica reduce la eficacia de los controles basados en indicadores estáticos y complica la correlación en SIEM.
Sectores afectados y riesgo en la cadena de suministro
Los objetivos principales incluyen organizaciones de tecnología y servicios legales, así como proveedores SaaS y compañías de BPO. Comprometer a estos actores proporciona un efecto dominó: acceso a repositorios, entornos de desarrollo y credenciales que facilitan preparar exploits 0‑day, pivotar hacia clientes y socios y atacar eslabones más débiles de la cadena.
Acceso inicial y despliegue en infraestructura con baja cobertura EDR
El vector inicial no está plenamente confirmado, aunque GTIG estima la explotación de vulnerabilidades 0‑day en dispositivos de borde. El clúster UNC5221 ya fue relacionado con intrusiones contra productos Ivanti y con el uso de malware personalizado como Spawnant y Zipline, lo que refuerza su experiencia explotando edge e infraestructura expuesta.
Tras ganar acceso, Brickstorm se desplegó en sistemas con escaso o nulo monitoreo EDR, incluidos VMware vCenter/ESXi. Este enfoque explota un punto ciego habitual: las plataformas de virtualización y orquestación, donde la telemetría de endpoint es menos común.
Tácticas en vCenter/ESXi, robo de credenciales y objetivo de correo
Para elevar privilegios en vCenter, los operadores inyectaron un Java Servlet Filter malicioso (Bricksteal) para capturar credenciales. Se observaron técnicas de clonado de máquinas virtuales Windows Server con el fin de extraer secretos y material sensible.
Con las credenciales, los atacantes realizaron movimiento lateral activando SSH en ESXi y alterando scripts de inicio (init.d y systemd) para afianzarse. El objetivo estratégico fue la exfiltración de correo corporativo mediante Microsoft Entra ID Enterprise Apps, apoyándose en SOCKS proxies internos para eludir segmentaciones y controles perimetrales.
Anti-forénsica e infraestructura desechable
UNC5221 empleó scripts de anti-forénsica para eliminar artefactos al finalizar las operaciones. Además, evita reutilizar dominios C2 y binarios, degradando el valor de los IoC tradicionales y obligando a las defensas a apoyarse en detecciones conductuales y telemetría contextual.
Detección disponible y limitaciones actuales
Mandiant publicó un scanner basado en YARA para Linux y BSD que ayuda a identificar Brickstorm, junto con reglas para Bricksteal y Slaystyle. No obstante, los especialistas advierten que estas firmas no cubren todos los variantes, no detectan mecanismos de persistencia ni identifican dispositivos vulnerables por sí mismos.
Recomendaciones priorizadas para SOC y equipos de seguridad
Fortalecer el borde: aplicar parches de forma prioritaria en gateways y VPN, restringir interfaces administrativas por IP y MFA, habilitar logs con envío remoto e integridad verificada.
Monitoreo de vCenter/ESXi: auditar la cadena de servlet filters en vCenter, alertar por activación de SSH en ESXi y cambios en init.d/systemd, y vigilar conexiones salientes inusuales hacia Cloudflare/Heroku desde hipervisores y orquestadores.
Protección de identidades y correo: revisar Enterprise Apps en Entra ID, controlar consentimientos delegados, registrar accesos, aplicar acceso condicional y MFA, y limitar permisos OAuth con revisiones periódicas.
Contención del movimiento lateral: rotar secretos y certificados, segmentar zonas administrativas, impedir inicios de sesión interactivos con cuentas de servicio e introducir sensores EDR/behaviorales también en Linux y hosts de virtualización cuando sea viable.
La operación Brickstorm confirma el desplazamiento del foco atacante hacia dispositivos de borde y plataformas de virtualización, donde las coberturas de seguridad son desiguales. Elevar el registro, reforzar el control de privilegios y adoptar detecciones basadas en comportamiento es esencial. El uso de los YARA de Mandiant es un buen primer paso, pero la resiliencia real exige mejoras sistémicas en parcheo, segmentación y respuesta. Es momento de auditar vCenter/ESXi y Entra ID con lupa, cerrar brechas en el borde y consolidar la visibilidad sobre el tráfico proxy y C2 camuflado.