La société de cybersécurité **Volexity** a attribué des activités récentes d'espionnage cybernétique à un groupe de menaces lié à la Chine qu'elle suit sous le nom de **VerdantBamboo**. Ce groupe a été observé déployant une variante BSD de la backdoor connue **BRICKSTORM**, ainsi que deux familles de malwares jusqu'alors non documentées, **PLENET** (également connue sous le nom de **GRIMBOLT**) et **AGENTPSD**, ciblant principalement les systèmes Linux. Les opérations de **VerdantBamboo** montrent des recoupements avec d'autres groupes de piratage proéminents, notamment **Clay Typhoon** (suivi par **Microsoft**), **UNC5221** (**Google**) et **Warp Panda** (**CrowdStrike**). ### Compromission initiale via Egnyte Storage Sync **Volexity** a découvert pour la première fois l'intrusion lors d'une mission d'intervention d'urgence en septembre 2025. L'adversaire avait compromis le système **Egnyte Storage Sync** d'une victime non nommée en exploitant une faille d'escalade de privilèges locaux pour déployer **BRICKSTORM**. Cette vulnérabilité a été corrigée par la suite dans Storage Sync [version 13.13](https://helpdesk.egnyte.com/hc/en-us/articles/43855328739469-Storage-Sync-V-13-13-Miscellaneous-Improvements), publiée en mars 2026. Les chercheurs Damien Cash, Paul Rascagneres, Steven Adair et Tom Lancaster ont déclaré dans leur rapport technique : > "L'appliance avait été périodiquement accédée par VerdantBamboo via des adresses IP attribuées par le web SSL VPN de l'organisation victime. L'acteur de la menace a utilisé les capacités de proxying du malware déployé sur le système Storage Sync, ainsi que des identifiants compromis, pour accéder à l'environnement Microsoft 365 (M365) de la victime." Ces étapes ont probablement été prises pour se fondre dans le trafic réseau légitime et échapper aux politiques d'accès conditionnel. La compromission initiale est estimée avoir eu lieu au moins 18 mois avant sa découverte. ### Retour et compromission de MSP Suite aux premiers efforts de remédiation, **VerdantBamboo** a orchestré un retour, piratant à nouveau la même organisation. Cette fois, ils ont utilisé des identifiants administratifs volés pour se connecter au pare-feu, abusant de cet accès pour configurer l'accès au web SSL VPN, se connecter à d'autres systèmes et déployer des malwares supplémentaires sur une appliance **Synology Network Attached Storage (NAS)**. Une enquête plus approfondie a révélé que l'acteur de la menace avait également compromis le fournisseur de services gérés (**MSP**) de l'organisation victime. Plus précisément, le pare-feu **pfSense** du **MSP** a été infecté par une variante BSD de **BRICKSTORM** à peu près au même moment où le système **Storage Sync** de la victime a été compromis. On pense que la compromission de la victime est le résultat direct de la compromission du **MSP**. ### L'arsenal de malwares de VerdantBamboo Les deux familles de malwares déployées sur l'appliance **NAS** via SSH incluent : * **PLENET** (alias **GRIMBOLT**) : Une backdoor multiplateforme développée en .NET Core et une nouvelle version de **BRICKSTORM** compilée à l'aide de la compilation ahead-of-time (AOT) native. Elle offre des capacités de shell interactif, d'exécution de commandes à distance, de manipulation de fichiers et de changement de serveur de commandement et de contrôle (C2). * **AGENTPSD** : Un reverse shell basé sur Python qui sert probablement de mécanisme de repli si l'implant principal échoue. Il est à noter que l'utilisation de **PLENET** dans la nature a été signalée par **Google** en février dernier. Elle était liée à des attaques d'un autre groupe de menaces suspecté d'être lié à la Chine, **UNC6201**, qui a exploité une vulnérabilité zero-day dans **Dell RecoverPoint for Virtual Machines** (**CVE-2026-22769**, score CVSS : 10.0) depuis mi-2024. ### Tactiques sophistiquées et sécurité opérationnelle **Volexity** décrit **VerdantBamboo** comme un acteur de menace très sophistiqué : > "VerdantBamboo est un acteur de menace très sophistiqué qui cherche à exploiter une combinaison de techniques 'living-off-the-land' et de déploiement de malwares sur des systèmes qui, traditionnellement, ne peuvent pas ou ne peuvent pas exécuter de logiciels EDR. Cet acteur de la menace semble avoir une bonne connaissance des appliances propriétaires, ce qui lui permet de déployer des malwares avec des mécanismes de persistance personnalisés. Il semble également avoir une discipline en matière de sécurité opérationnelle visant à exploiter un nombre limité de domaines et d'adresses IP par victime et à mettre en place une dénomination d'implant et une persistance personnalisées par appareil." Cette campagne souligne la menace persistante posée par les groupes parrainés par des États et leurs méthodes évolutives pour compromettre les infrastructures critiques et les chaînes d'approvisionnement par le biais des **MSP** et des appliances spécialisées.