中国の諜報グループ「UNC5221」が、バックドア「Brickstorm」およびこれまで文書化されていなかったマルウェア「Plenet」と「AgentPSD」を使用して、Microsoft 365環境にアクセスしていたことが確認されました。 インシデントの調査により、攻撃者は検知される少なくとも18ヶ月前から被害者ネットワークに侵入しており、侵害は2025年3月頃に発見されたことが明らかになりました。同グループは被害者組織のマネージドサービスプロバイダー（MSP）も侵害していました。 「UNC5221」は「VerdantBamboo」としても知られており、少なくとも2023年以降、エッジデバイスのゼロデイ脆弱性を悪用する攻撃に関与しています。 バックドア「Brickstorm」は、さまざまな米国の標的で1年以上検知されずに使用されていました。研究者は「Brickstorm」を「高度なマルウェアインプラント」と説明しており、初期のバリアントはGolangで書かれ、新しいバリアントはRustで出現しています。 Googleは2024年4月に初めて「UNC5221」の「Brickstorm」を使用した活動を文書化し、[2025年9月にも再度](https://www.bleepingcomputer.com/news/security/google-brickstorm-malware-used-to-steal-us-orgs-data-for-over-a-year/)、法律サービス、SaaSプロバイダー、BPO、テクノロジー企業に対する攻撃を詳細に説明しました。CISAも、中国のハッカーが[VMware vSphereサーバーに対して](https://www.bleepingcomputer.com/news/security/cisa-warns-of-chinese-brickstorm-malware-attacks-on-vmware-servers/)「Brickstorm」を展開していると警告しました。最近では、Googleは「UNC6201」が[Dell RecoverPoint for Virtual Machinesに対して](https://www.bleepingcomputer.com/news/security/chinese-hackers-exploiting-dell-zero-day-flaw-since-mid-2024/)展開したと報告しています。 ### 深い侵入と二重侵入 Volexityの研究者は、昨年発生したインシデントに対応する中で、「VerdantBamboo」がEgnyte Storage Syncシステムを侵害し、被害者のWeb SSL VPNを通じて定期的にアクセスしていたことを発見しました。この足がかりから、「Brickstorm」のプロキシ機能と盗まれた認証情報を使用して、攻撃者は組織のMicrosoft 365環境にアクセスしました。 「Volexityは、これが正規のネットワークトラフィックに紛れ込み、そうでなければアクセスを妨げていたであろう[Conditional Accessポリシー](https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview)を回避するために行われたと高い確信度で評価しています」と[研究者は述べています](https://www.volexity.com/blog/2026/06/04/verdantbamboo-just-another-brickstorm-in-the-firewall/)。 その後、Volexityは、ハッカーが検知される前にネットワーク上に少なくとも18ヶ月間潜伏していたことを発見しました。さらに、「VerdantBamboo」は、研究者が修復作業を完了した後、組織に再び侵入しました。 二度目の侵入では、攻撃者は盗まれた認証情報を使用して被害者のファイアウォールでSSL VPNアクセスを有効化・設定し、内部システムに接続して追加のカスタムマルウェアをSynology NASデバイスに展開しました。これにより、顧客のMSPで調査が開始され、Volexityは「VerdantBamboo」がpfSenseファイアウォールに「Brickstorm」のBSDバリアントを仕込んでいたことを発見しました。 Volexityは、このファイアウォールが、被害者組織のStorage Syncシステムと同様に、少なくとも18ヶ月前に侵害されていたと結論付けています。研究者は、攻撃者がMSPから被害者組織の環境にピボットしたと中程度の確信度を持っています。「Brickstorm」はその後、被害者のEgnyte Storage Syncアプライアンスと、廃止されたLinux GroupWiseメールアーカイブサーバーに展開されました。 ### 新マルウェアPlenetとAgentPSDの解明 数日後に被害者のインフラストラクチャへのアクセスを再確立した後、攻撃者はカスタムマルウェア「Plenet」をSynology NASアプライアンスに展開しました。 「Plenet」は、Googleによって「Grimbolt」としても追跡されており、インタラクティブなシェルアクセス、リモートコマンド実行、ファイル操作、C2サーバーの切り替えを提供するクロスプラットフォームの.NETベースのバックドアです。研究者は、「Plenet」は「Brickstorm」と設計が類似しており、C2通信にWebSocketプロトコルを使用し、サーバーへの同時データストリームのために多重化ライブラリを利用していると指摘しています。 「AgentPSD」は、Volexityが「VerdantBamboo」が他のマルウェアにアクセスできなくなった場合のフォールバック永続化メカニズムとして使用したと考えている、シンプルなPythonベースの逆シェルユーティリティです。「AgentPSD」は「Brickstorm」とは異なるドメインに接続するように設定されていましたが、「Brickstorm」が運用を継続していたため、「AgentPSD」はセカンダリアクセスメカニズムとして評価されています。 調査中、Volexityは「VerdantBamboo」のインフラストラクチャを発見しようと試み、「Brickstorm」のC2 IPアドレスとドメインを特定するためのフィンガープリントを作成しました。複数のマシンが特定されましたが、攻撃者は研究者が他のシステムを明らかにできる前に、9月18日から23日の間にインフラストラクチャをオフラインにしました。このタイミングは、Googleの「Brickstorm」活動に関する新しいレポートと一致しており、攻撃者が進行中の調査を認識していた可能性を示唆しています。 Volexityは、「VerdantBamboo」/「UNC5221」を「living-off-the-land」技術とカスタムマルウェアを組み合わせた「非常に洗練された脅威アクター」と説明しており、特にEndpoint Detection and Response（EDR）ソリューションをサポートしていないシステムを標的としています。 研究者は、調査された「UNC5221」キャンペーンに関連するIOC（Indicators of Compromise）のリストをまとめており、[こちら](https://github.com/volexity/threat-intel/tree/main/2026/2026-06-04%20VerdantBamboo)で公開されています。