Das Cybersicherheitsunternehmen **Volexity** hat kürzliche Cyber-Spionageaktivitäten einer China-Nexus-Bedrohungsgruppe zugeordnet, die es als **VerdantBamboo** verfolgt. Diese Gruppe wurde beim Einsatz einer BSD-Variante der bekannten Backdoor **BRICKSTORM** sowie zweier bisher unbekannter Malware-Familien, **PLENET** (auch bekannt als **GRIMBOLT**) und **AGENTPSD**, beobachtet, die hauptsächlich auf Linux-Systeme abzielen. Die Operationen von **VerdantBamboo** zeigen Überschneidungen mit anderen prominenten Hacking-Gruppen, darunter **Clay Typhoon** (verfolgt von **Microsoft**), **UNC5221** (**Google**) und **Warp Panda** (**CrowdStrike**). ### Erster Einbruch über Egnyte Storage Sync **Volexity** deckte die Intrusion erstmals im September 2025 während eines Incident-Response-Einsatzes auf. Der Angreifer hatte das **Egnyte Storage Sync**-System eines nicht genannten Opfers kompromittiert, indem er eine lokale Schwachstelle zur Privilegieneskalation ausnutzte, um **BRICKSTORM** einzuschleusen. Diese Schwachstelle wurde anschließend in Storage Sync [Version 13.13](https://helpdesk.egnyte.com/hc/en-us/articles/43855328739469-Storage-Sync-V-13-13-Miscellaneous-Improvements), die im März 2026 veröffentlicht wurde, behoben. Die Forscher Damien Cash, Paul Rascagneres, Steven Adair und Tom Lancaster erklärten in ihrem technischen Bericht: > "Auf das System wurde von VerdantBamboo über IP-Adressen zugegriffen, die über das Web SSL VPN des Opfers zugewiesen wurden. Der Bedrohungsakteur nutzte die Proxy-Fähigkeiten der auf dem Storage Sync-System eingesetzten Malware sowie kompromittierte Anmeldedaten, um auf die Microsoft 365 (M365)-Umgebung des Opfers zuzugreifen." Diese Schritte wurden wahrscheinlich unternommen, um sich in den legitimen Netzwerkverkehr einzufügen und Conditional Access-Richtlinien zu umgehen. Der erste Einbruch wird auf mindestens 18 Monate vor der Entdeckung geschätzt. ### Rückkehr und MSP-Kompromittierung Nach ersten Abhilfemaßnahmen kehrte **VerdantBamboo** zurück und brach erneut in dasselbe Unternehmen ein. Diesmal nutzten sie gestohlene Administrator-Anmeldedaten, um sich mit der Firewall zu verbinden, missbrauchten diesen Zugriff, um Web SSL VPN-Zugriff zu konfigurieren, sich mit anderen Systemen zu verbinden und zusätzliche Malware auf einem **Synology Network Attached Storage (NAS)**-Gerät einzuschleusen. Weitere Untersuchungen ergaben, dass der Bedrohungsakteur auch den Managed Services Provider (**MSP**) des Opfers kompromittiert hatte. Insbesondere wurde die **pfSense**-Firewall des **MSP** zur gleichen Zeit, als das **Storage Sync**-System des Opfers kompromittiert wurde, mit einer BSD-Variante von **BRICKSTORM** infiziert. Es wird angenommen, dass die Kompromittierung des Opfers eine direkte Folge des **MSP**-Einbruchs war. ### VerdantBamboo's Malware-Arsenal Die beiden auf das **NAS**-Gerät über SSH eingeschleusten Malware-Familien sind: * **PLENET** (auch bekannt als **GRIMBOLT**): Eine plattformübergreifende Backdoor, die in .NET Core entwickelt wurde, und eine neue Version von **BRICKSTORM**, die mit nativer Ahead-of-Time (AOT)-Kompilierung kompiliert wurde. Sie bietet interaktive Shell-Funktionen, Remote-Befehlsausführung, Dateioperationen und den Wechsel des Command-and-Control (C2)-Servers. * **AGENTPSD**: Eine Python-basierte Reverse-Shell, die wahrscheinlich als Fallback-Mechanismus dient, falls der primäre Implant fehlschlägt. Bemerkenswerterweise wurde der Einsatz von **PLENET** in freier Wildbahn bereits im Februar von **Google** gemeldet. Er wurde mit Angriffen einer weiteren mutmaßlichen China-Nexus-Bedrohungsgruppe, **UNC6201**, in Verbindung gebracht, die seit Mitte 2024 eine Zero-Day-Schwachstelle in **Dell RecoverPoint for Virtual Machines** (**CVE-2026-22769**, CVSS-Score: 10.0) ausnutzte. ### Hochentwickelte Taktiken und operative Sicherheit **Volexity** beschreibt **VerdantBamboo** als einen hoch entwickelten Bedrohungsakteur: > "VerdantBamboo ist ein hoch entwickelter Bedrohungsakteur, der versucht, eine Kombination aus Living-off-the-Land-Techniken und Malware-Einsatz auf Systemen zu nutzen, auf denen traditionell keine EDR-Software läuft oder laufen kann. Dieser Bedrohungsakteur scheint gute Kenntnisse proprietärer Appliances zu haben, was ihm ermöglicht, Malware mit angepassten Persistenzmechanismen einzuschleusen. Er scheint auch eine operative Sicherheitsdisziplin zu haben, die darauf abzielt, eine begrenzte Anzahl von Domains und IP-Adressen pro Opfer zu nutzen und angepasste Implantatnamen und Persistenz auf Gerätebasis einzurichten." Diese Kampagne unterstreicht die anhaltende Bedrohung durch staatlich geförderte Gruppen und ihre sich entwickelnden Methoden, kritische Infrastrukturen und Lieferketten über **MSP**s und spezialisierte Appliances zu kompromittieren.