La firma de ciberseguridad **Volexity** ha atribuido actividades recientes de ciberespionaje a un clúster de amenazas con nexos en China que rastrea como **VerdantBamboo**. Se ha observado a este grupo desplegando una variante BSD del conocido backdoor **BRICKSTORM**, junto con dos familias de malware previamente indocumentadas, **PLENET** (también conocido como **GRIMBOLT**) y **AGENTPSD**, dirigidas principalmente a sistemas Linux. Las operaciones de **VerdantBamboo** muestran solapamiento con otros grupos de hacking prominentes, incluyendo **Clay Typhoon** (rastreado por **Microsoft**), **UNC5221** (**Google**) y **Warp Panda** (**CrowdStrike**). ### Brecha Inicial a través de Egnyte Storage Sync **Volexity** descubrió por primera vez la intrusión durante un compromiso de respuesta a incidentes en septiembre de 2025. El adversario había comprometido el sistema **Egnyte Storage Sync** de una víctima no identificada explotando una falla de escalada de privilegios local para desplegar **BRICKSTORM**. Esta vulnerabilidad fue posteriormente abordada en Storage Sync [versión 13.13](https://helpdesk.egnyte.com/hc/en-us/articles/43855328739469-Storage-Sync-V-13-13-Miscellaneous-Improvements), lanzada en marzo de 2026. Los investigadores Damien Cash, Paul Rascagneres, Steven Adair y Tom Lancaster declararon en su informe técnico: > "El dispositivo había sido accedido periódicamente por VerdantBamboo a través de direcciones IP asignadas mediante la SSL VPN web de la organización víctima. El actor de amenazas utilizó las capacidades de proxy del malware desplegado en el sistema Storage Sync, junto con credenciales comprometidas, para acceder al entorno Microsoft 365 (M365) de la víctima." Estos pasos probablemente se tomaron para mezclarse con el tráfico de red legítimo y evadir las políticas de Acceso Condicional. Se estima que el compromiso inicial ocurrió al menos 18 meses antes de su descubrimiento. ### Retorno y Compromiso de MSP Tras los esfuerzos iniciales de remediación, **VerdantBamboo** se reagrupó y volvió a penetrar en la misma organización. Esta vez, utilizaron credenciales administrativas robadas para conectarse al firewall, abusando de este acceso para configurar el acceso a la SSL VPN web, conectarse a otros sistemas y desplegar malware adicional en un dispositivo **Synology Network Attached Storage (NAS)**. Una investigación adicional reveló que el actor de amenazas también había comprometido al Proveedor de Servicios Gestionados (**MSP**) de la organización víctima. Específicamente, el firewall **pfSense** del **MSP** fue infectado con una variante BSD de **BRICKSTORM** alrededor de la misma época en que se comprometió el sistema **Storage Sync** de la víctima. Se cree que el compromiso de la víctima fue un resultado directo de la brecha del **MSP**. ### Arsenal de Malware de VerdantBamboo Las dos familias de malware desplegadas en el dispositivo **NAS** a través de SSH incluyen: * **PLENET** (también conocido como **GRIMBOLT**): Un backdoor multiplataforma desarrollado en .NET Core y una nueva versión de **BRICKSTORM** compilada utilizando compilación nativa ahead-of-time (AOT). Ofrece capacidades de shell interactivo, ejecución remota de comandos, manipulación de archivos y cambio de servidor de comando y control (C2). * **AGENTPSD**: Un shell inverso basado en Python que probablemente sirve como mecanismo de respaldo si el implante principal falla. Cabe destacar que el uso de **PLENET** en la naturaleza fue reportado por **Google** a principios de febrero. Se vinculó a ataques de otro clúster de amenazas sospechoso con nexos en China, **UNC6201**, que explotó una vulnerabilidad zero-day en **Dell RecoverPoint for Virtual Machines** (**CVE-2026-22769**, puntuación CVSS: 10.0) desde mediados de 2024. ### Tácticas Sofisticadas y Seguridad Operacional **Volexity** describe a **VerdantBamboo** como un actor de amenazas altamente sofisticado: > "VerdantBamboo es un actor de amenazas altamente sofisticado que busca aprovechar una combinación de técnicas 'living-off-the-land' y despliegue de malware en sistemas que tradicionalmente no ejecutan o no pueden ejecutar software EDR. Este actor de amenazas parece tener un buen conocimiento de los dispositivos propietarios, lo que les permite desplegar malware con mecanismos de persistencia personalizados. También parecen tener disciplina de seguridad operacional orientada a aprovechar un número limitado de dominios y direcciones IP por víctima y configurar nombres de implantes y persistencia personalizados por dispositivo." Esta campaña subraya la amenaza persistente que representan los grupos patrocinados por estados y sus métodos en evolución para comprometer la infraestructura crítica y las cadenas de suministro a través de **MSP**s y dispositivos especializados.