Un groupe d'espionnage chinois, suivi sous l'appellation **UNC5221**, a été observé accédant à des environnements **Microsoft 365** en utilisant la backdoor **Brickstorm** et des malwares inédits nommés **Plenet** et **AgentPSD**. Une enquête sur l'incident a révélé que l'acteur de la menace avait obtenu un accès au réseau de la victime au moins 18 mois avant sa détection, les intrusions ayant été découvertes vers mars 2025. Le groupe avait également compromis le **prestataire de services gérés (MSP)** de l'organisation victime. **UNC5221** est également connu sous le nom de **VerdantBamboo** et est impliqué dans des attaques exploitant des vulnérabilités zero-day dans des appareils edge depuis au moins 2023. La backdoor **Brickstorm** a été utilisée sans être détectée dans diverses cibles américaines pendant plus d'un an. Les chercheurs décrivent **Brickstorm** comme un "implant de malware avancé", avec des variantes initiales écrites en **Golang** et des versions plus récentes apparaissant en **Rust**. **Google** a documenté pour la première fois l'activité de **UNC5221** utilisant **Brickstorm** en avril 2024, et [à nouveau en septembre 2025](https://www.bleepingcomputer.com/news/security/google-brickstorm-malware-used-to-steal-us-orgs-data-for-over-a-year/), détaillant des attaques contre des services juridiques, des fournisseurs de logiciels en tant que service, des sous-traitants de processus métier et des entreprises technologiques. La **CISA** a également mis en garde contre le déploiement de **Brickstorm** par des pirates chinois [contre des serveurs VMware vSphere](https://www.bleepingcomputer.com/news/security/cisa-warns-of-chinese-brickstorm-malware-attacks-on-vmware-servers/). Plus récemment, **Google** a signalé son déploiement par **UNC6201** [contre Dell RecoverPoint for Virtual Machines](https://www.bleepingcomputer.com/news/security/chinese-hackers-exploiting-dell-zero-day-flaw-since-mid-2024/). ### Compromission profonde et double intrusion Les chercheurs de **Volexity**, intervenant sur un incident l'année dernière, ont découvert que **VerdantBamboo** avait compromis un système **Egnyte Storage Sync** et y accédait périodiquement via le VPN SSL web de la victime. À partir de ce point d'ancrage, en utilisant les fonctionnalités de proxy de **Brickstorm** et des identifiants volés, l'acteur de la menace a accédé à l'environnement **Microsoft 365** de l'organisation. "**Volexity** estime avec une grande confiance que cela a été fait pour se fondre dans le trafic réseau légitime et échapper aux [politiques d'accès conditionnel](https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview) qui auraient autrement empêché l'accès", ont déclaré les [chercheurs](https://www.volexity.com/blog/2026/06/04/verdantbamboo-just-another-brickstorm-in-the-firewall/). Plus tard, **Volexity** a découvert que les pirates étaient restés sur le réseau pendant au moins 18 mois avant d'être détectés. De plus, **VerdantBamboo** a réinfesté l'organisation après que les chercheurs aient terminé les efforts de remédiation. Lors de la seconde intrusion, les attaquants ont utilisé des identifiants volés pour activer et configurer l'accès VPN SSL sur le pare-feu de la victime, puis se sont connectés à des systèmes internes et ont déployé des malwares personnalisés supplémentaires sur un appareil **Synology NAS**. Cela a déclenché une enquête chez le **MSP** du client, où **Volexity** a découvert que **VerdantBamboo** avait implanté une variante **BSD** de **Brickstorm** sur un pare-feu **pfSense**. **Volexity** a conclu que ce pare-feu, tout comme le système **Storage Sync** de l'organisation victime, avait également été compromis au moins 18 mois plus tôt. Les chercheurs ont une confiance moyenne dans le fait que l'attaquant a pivoté depuis le **MSP** vers l'environnement de l'organisation victime. **Brickstorm** a ensuite été déployé sur l'appliance **Egnyte Storage Sync** de la victime et sur un serveur d'archivage d'e-mails **Linux GroupWise** retiré. ### Dévoilement de nouveaux malwares : Plenet et AgentPSD Après avoir rétabli l'accès à l'infrastructure de la victime quelques jours plus tard, les attaquants ont déployé le malware personnalisé **Plenet** sur un appareil **Synology NAS**. **Plenet**, également suivi sous le nom de "**Grimbolt**" par **Google**, est une backdoor multiplateforme basée sur **.NET** offrant un accès shell interactif, l'exécution de commandes à distance, la manipulation de fichiers et le changement de serveur de commandement et de contrôle (C2). Les chercheurs notent que **Plenet** est similaire dans sa conception à **Brickstorm**, utilisant le protocole **WebSocket** pour les communications C2 et une bibliothèque de multiplexage pour des flux de données simultanés vers le serveur. **AgentPSD** est un utilitaire simple de reverse shell basé sur Python que **Volexity** pense que **VerdantBamboo** a utilisé comme mécanisme de persistance de secours si d'autres malwares devenaient inaccessibles. Bien que **AgentPSD** ait été configuré pour se connecter à un domaine différent de celui de **Brickstorm**, il n'a jamais été utilisé car **Brickstorm** est resté opérationnel, soutenant l'évaluation que **AgentPSD** était un mécanisme d'accès secondaire. Lors de l'enquête, **Volexity** a tenté de découvrir l'infrastructure de **VerdantBamboo**, créant une empreinte pour identifier les adresses IP et les domaines C2 de **Brickstorm**. Bien que plusieurs machines aient été identifiées, l'acteur de la menace a mis l'infrastructure hors ligne entre le 18 et le 23 septembre, avant que les chercheurs ne puissent révéler d'autres systèmes. Ce calendrier, coïncidant avec le nouveau rapport de **Google** sur l'activité de **Brickstorm**, suggère que l'attaquant était peut-être au courant de l'enquête en cours. **Volexity** décrit **VerdantBamboo**/**UNC5221** comme "un acteur de menace hautement sophistiqué" qui combine des techniques de living-off-the-land avec des malwares personnalisés, ciblant spécifiquement les systèmes qui ne prennent pas en charge les solutions de **Endpoint Detection and Response (EDR)**. Les chercheurs ont compilé une liste d'indicateurs de compromission (IOC) liés à la campagne **UNC5221** étudiée, qui est publiquement disponible [ici](https://github.com/volexity/threat-intel/tree/main/2026/2026-06-04%20VerdantBamboo).