Mastodon Mastodon Mastodon Mastodon

Campaña de ciberespionaje VerdantBamboo contra firewalls y NAS en entornos MSP

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Los investigadores de Volexity publicaron un informe sobre una campaña de ciberespionaje en el transcurso de la cual un grupo, presuntamente vinculado a China y rastreado como VerdantBamboo, comprometió la infraestructura de una organización a través de su proveedor de servicios gestionados (MSP). Los atacantes desplegaron una variante BSD del backdoor BRICKSTORM en el firewall pfSense del proveedor y, a continuación, instalaron dos familias de malware adicionales —PLENET (GRIMBOLT) y AGENTPSD— en el almacenamiento en red Synology NAS de la víctima. La campaña afecta a organizaciones que utilizan dispositivos perimetrales sin soporte de EDR: firewalls, sistemas NAS y servidores de sincronización de archivos.

Cronología y vector de compromiso

Según Volexity, el incidente se descubrió durante una investigación en septiembre de 2025; sin embargo, la compromisión inicial se habría producido, según las estimaciones de los investigadores, al menos 18 meses antes. La cadena de ataque incluyó varias etapas:

  • Compromiso del MSP: los atacantes infectaron el firewall pfSense del proveedor de servicios gestionados con la variante BSD de BRICKSTORM, obteniendo a través de él acceso a la infraestructura del cliente.
  • Explotación de Egnyte Storage Sync: en el sistema de sincronización de almacenamiento de la víctima se aprovechó una vulnerabilidad de elevación local de privilegios para desplegar BRICKSTORM. La corrección se incluye en Storage Sync versión 13.13, publicada en marzo de 2026.
  • Acceso a Microsoft 365: mediante las capacidades de proxy de BRICKSTORM en el sistema de sincronización comprometido y con credenciales robadas, los atacantes obtuvieron acceso al entorno en la nube de Microsoft 365, camuflando el tráfico como legítimo y eludiendo las directivas de acceso condicional.
  • Reintrusión: tras la remediación inicial del incidente, VerdantBamboo regresó utilizando credenciales administrativas robadas para conectarse al firewall, configurar una SSL VPN y desplegar malware en el Synology NAS.

Resulta significativo que el acceso al dispositivo comprometido se realizara a través de direcciones IP asignadas por la propia SSL VPN de la organización víctima, lo que dificultaba considerablemente la detección de anomalías en el tráfico de red.

Arsenal de malware

Al almacenamiento en red Synology NAS se entregaron a través de SSH dos familias de malware:

  • PLENET (GRIMBOLT) — backdoor multiplataforma, desarrollado sobre .NET Core utilizando compilación nativa AOT (ahead-of-time). Representa una nueva versión de BRICKSTORM. Admite una shell interactiva, ejecución remota de comandos, manipulación de archivos y cambio entre servidores de mando y control (C2).
  • AGENTPSD — shell inverso en Python que, presumiblemente, actúa como canal de acceso de reserva en caso de fallo del implante principal.

El uso de compilación AOT en PLENET merece una atención especial: esta técnica permite crear ejecutables autónomos sin dependencia del runtime de .NET, lo que facilita su despliegue en dispositivos con un entorno de software limitado y dificulta su análisis.

Contexto de la amenaza y vínculos

Volexity caracteriza a VerdantBamboo como un actor de alta sofisticación que ataca de forma selectiva dispositivos en los que tradicionalmente no se instala, o no puede instalarse, software de tipo EDR. El grupo demuestra un profundo conocimiento de dispositivos propietarios, desarrollando mecanismos de persistencia a medida para cada dispositivo comprometido.

Entre los rasgos característicos de la disciplina operativa de VerdantBamboo figuran el uso de un número limitado de dominios y direcciones IP por víctima, así como la personalización individual de la nomenclatura de los implantes.

Cabe señalar que PLENET ya había aparecido en informes relacionados con la explotación de la vulnerabilidad crítica CVE-2026-22769 (CVSS 10.0) en Dell RecoverPoint for Virtual Machines, que según los datos disponibles se habría utilizado como zero-day desde mediados de 2024.

Evaluación del impacto

La campaña de VerdantBamboo representa un riesgo elevado para las organizaciones por varios motivos:

  • Ataque a través de la cadena de suministro: la compromisión de un MSP ofrece a los atacantes acceso potencial a todos los clientes del proveedor, y no solo a una víctima.
  • Zonas ciegas de monitorización: los firewalls, dispositivos NAS y servidores de sincronización de archivos por lo general no están cubiertos por soluciones EDR, lo que los convierte en puntos de persistencia ideales.
  • Presencia prolongada: un periodo de acceso encubierto de 18 meses antes de su detección indica la capacidad del grupo para mantener una presencia estable en la infraestructura.
  • Resiliencia frente a la respuesta: tras la remediación inicial del incidente, los atacantes restablecieron el acceso a través de canales alternativos, lo que evidencia la existencia de múltiples puntos de persistencia.

Están especialmente expuestas las organizaciones que utilizan servicios gestionados de proveedores externos, así como las empresas con un gran parque de dispositivos de red sin monitorización de seguridad centralizada.

Recomendaciones de protección

  1. Actualice Egnyte Storage Sync a la versión 13.13 o superior, en la que se corrige la vulnerabilidad de elevación de privilegios.
  2. Audite los firewalls pfSense en busca de procesos atípicos, ejecutables desconocidos y configuraciones sospechosas de SSL VPN, especialmente si los dispositivos son gestionados por un MSP externo.
  3. Revise los dispositivos Synology NAS en busca de conexiones SSH inusuales, binarios desconocidos y mecanismos de autoarranque no estándar.
  4. Rote todas las credenciales administrativas de dispositivos de red, gateways VPN y servicios en la nube, incluido Microsoft 365, especialmente si existe sospecha de compromisión del MSP.
  5. Implemente monitorización del tráfico de red en los dispositivos perimetrales: supervise conexiones salientes anómalas desde los firewalls y NAS, así como el uso inusual de la SSL VPN.
  6. Evalúe la seguridad del MSP: solicite a su proveedor de servicios gestionados la confirmación de que se ha verificado la integridad de su infraestructura y los resultados de sus auditorías de seguridad.

La campaña de VerdantBamboo pone de manifiesto un cambio sistémico en la táctica de los grupos avanzados: del ataque a endpoints a la compromisión de dispositivos de red que quedan fuera del campo de visión del EDR. Las organizaciones deberían, como prioridad, inventariar todos sus dispositivos perimetrales —firewalls, NAS y servidores de sincronización— y proporcionarles al menos una monitorización básica de la integridad del sistema de archivos y de las conexiones de red, así como actualizar de inmediato Egnyte Storage Sync y rotar las credenciales en los dispositivos gestionados a través de un MSP.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio