Eine chinesische Spionagegruppe, die als **UNC5221** verfolgt wird, wurde dabei beobachtet, wie sie mit der **Brickstorm**-Backdoor und bisher unbekannter Malware namens **Plenet** und **AgentPSD** auf **Microsoft 365**-Umgebungen zugreift. Eine Untersuchung des Vorfalls ergab, dass der Bedrohungsakteur mindestens 18 Monate vor der Entdeckung Zugang zum Opfernetzwerk erlangt hatte, wobei die Einbrüche etwa im März 2025 entdeckt wurden. Die Gruppe kompromittierte auch den **Managed Services Provider (MSP)** des Opferunternehmens. **UNC5221** ist auch als **VerdantBamboo** bekannt und ist seit mindestens 2023 an Angriffen beteiligt, die Zero-Day-Schwachstellen in Edge-Geräten ausnutzen. Die **Brickstorm**-Backdoor wurde über ein Jahr lang unentdeckt bei verschiedenen US-Zielen eingesetzt. Forscher beschreiben **Brickstorm** als ein "fortschrittliches Malware-Implantat", wobei anfängliche Varianten in **Golang** und neuere in **Rust** geschrieben wurden. **Google** dokumentierte die Aktivitäten von **UNC5221** mit **Brickstorm** erstmals im April 2024 und [erneut im September 2025](https://www.bleepingcomputer.com/news/security/google-brickstorm-malware-used-to-steal-us-orgs-data-for-over-a-year/), wobei Angriffe auf Rechtsdienstleister, Software-as-a-Service-Anbieter, Business-Process-Outsourcer und Technologieunternehmen detailliert beschrieben wurden. **CISA** warnte ebenfalls davor, dass **Brickstorm** von chinesischen Hackern [gegen VMware vSphere-Server](https://www.bleepingcomputer.com/news/security/cisa-warns-of-chinese-brickstorm-malware-attacks-on-vmware-servers/) eingesetzt wird. Kürzlich berichtete **Google** über dessen Einsatz durch **UNC6201** [gegen Dell RecoverPoint für virtuelle Maschinen](https://www.bleepingcomputer.com/news/security/chinese-hackers-exploiting-dell-zero-day-flaw-since-mid-2024/). ### Tiefgreifende Kompromittierung und doppelter Einbruch Forscher von **Volexity**, die auf einen Vorfall im letzten Jahr reagierten, stellten fest, dass **VerdantBamboo** ein **Egnyte Storage Sync**-System kompromittierte und über das SSL VPN des Opfers periodisch darauf zugriff. Von diesem Standbein aus griff der Bedrohungsakteur unter Verwendung der Proxy-Funktionen von **Brickstorm** und gestohlener Anmeldeinformationen auf die **Microsoft 365**-Umgebung des Unternehmens zu. "**Volexity** schätzt mit hoher Zuversicht ein, dass dies geschah, um sich in den legitimen Netzwerkverkehr einzufügen und [Conditional Access-Richtlinien](https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview) zu umgehen, die andernfalls den Zugriff verhindert hätten", sagten die [Forscher](https://www.volexity.com/blog/2026/06/04/verdantbamboo-just-another-brickstorm-in-the-firewall/). Später entdeckte **Volexity**, dass die Hacker mindestens 18 Monate im Netzwerk verbracht hatten, bevor sie entdeckt wurden. Darüber hinaus brach **VerdantBamboo** nach Abschluss der Bereinigungsbemühungen der Forscher erneut in das Unternehmen ein. Beim zweiten Einbruch nutzten die Angreifer gestohlene Anmeldeinformationen, um den SSL VPN-Zugriff auf der Firewall des Opfers zu aktivieren und zu konfigurieren, verbanden sich dann mit internen Systemen und setzten zusätzliche benutzerdefinierte Malware auf einem **Synology NAS**-Gerät ein. Dies löste eine Untersuchung bei der **MSP** des Kunden aus, wo **Volexity** feststellte, dass **VerdantBamboo** eine **BSD**-Variante von **Brickstorm** auf einer **pfSense**-Firewall platziert hatte. **Volexity** kam zu dem Schluss, dass diese Firewall, wie auch das **Storage Sync**-System des Opferunternehmens, ebenfalls mindestens 18 Monate zuvor kompromittiert worden war. Forscher haben eine mittlere Zuversicht, dass der Angreifer von der **MSP** in die Umgebung des Opferunternehmens übergegriffen hat. **Brickstorm** wurde anschließend auf dem **Egnyte Storage Sync**-Gerät des Opfers und auf einem stillgelegten **Linux GroupWise**-E-Mail-Archivserver eingesetzt. ### Neue Malware enthüllt: Plenet und AgentPSD Nachdem die Angreifer einige Tage später den Zugriff auf die Infrastruktur des Opfers wiederhergestellt hatten, setzten sie die benutzerdefinierte Malware **Plenet** auf einem **Synology NAS**-Gerät ein. **Plenet**, von **Google** auch als "**Grimbolt**" verfolgt, ist eine plattformübergreifende **.NET**-basierte Backdoor, die interaktiven Shell-Zugriff, Remote-Befehlsausführung, Dateimanipulation und den Wechsel des Command-and-Control (C2)-Servers bietet. Die Forscher stellen fest, dass **Plenet** im Design **Brickstorm** ähnelt und das **WebSocket**-Protokoll für C2-Kommunikation und eine Multiplexing-Bibliothek für gleichzeitige Datenströme zum Server verwendet. **AgentPSD** ist ein einfaches Python-basiertes Reverse-Shell-Dienstprogramm, das **Volexity** glaubt, dass **VerdantBamboo** es als Fallback-Persistenzmechanismus verwendet hat, falls andere Malware unzugänglich wurde. Obwohl **AgentPSD** so konfiguriert war, dass es eine andere Domäne als **Brickstorm** kontaktiert, wurde es nie verwendet, da **Brickstorm** betriebsbereit blieb, was die Einschätzung unterstützt, dass **AgentPSD** ein sekundärer Zugangsmechanismus war. Während der Untersuchung versuchte **Volexity**, die Infrastruktur von **VerdantBamboo** aufzudecken, indem es einen Fingerabdruck erstellte, um **Brickstorm** C2-IP-Adressen und Domänen zu identifizieren. Obwohl mehrere Maschinen identifiziert wurden, nahm der Bedrohungsakteur die Infrastruktur zwischen dem 18. und 23. September offline, bevor die Forscher weitere Systeme aufdecken konnten. Dieses Timing, das mit dem neuen Bericht von **Google** über **Brickstorm**-Aktivitäten zusammenfällt, deutet darauf hin, dass der Angreifer sich der laufenden Untersuchung bewusst gewesen sein könnte. **Volexity** beschreibt **VerdantBamboo**/**UNC5221** als "einen hoch entwickelten Bedrohungsakteur", der "Living-off-the-Land"-Techniken mit benutzerdefinierter Malware kombiniert und gezielt Systeme angreift, die keine **Endpoint Detection and Response (EDR)**-Lösungen unterstützen. Die Forscher haben eine Liste von Indikatoren für Kompromittierung (IOCs) zusammengestellt, die mit der untersuchten **UNC5221**-Kampagne in Verbindung stehen und [hier](https://github.com/volexity/threat-intel/tree/main/2026/2026-06-04%20VerdantBamboo) öffentlich verfügbar sind.