サイバーセキュリティ企業 **Volexity** は、最近のサイバースパイ活動を、同社が追跡している中国関連の脅威クラスター「**VerdantBamboo**」によるものと特定しました。このグループは、既知のバックドア **BRICKSTORM** のBSD亜種に加え、これまで文書化されていなかった2つの新しいマルウェアファミリー、「**PLENET**」（**GRIMBOLT** としても知られる）および **AGENTPSD** を展開しており、主にLinuxシステムを標的にしています。 **VerdantBamboo** の活動は、「**Clay Typhoon**」（**Microsoft** が追跡）、「**UNC5221**」（**Google**）、「**Warp Panda**」（**CrowdStrike**）を含む、他の著名なハッキンググループとの重複が見られます。 ### Egnyte Storage Sync を介した初期侵入 **Volexity** は、2025年9月のインシデント対応において、この侵入を初めて発見しました。攻撃者は、ローカル権限昇格の脆弱性を悪用して **BRICKSTORM** を展開し、ある被害者の **Egnyte Storage Sync** システムを侵害していました。この脆弱性は、2026年3月にリリースされた Storage Sync の [バージョン13.13](https://helpdesk.egnyte.com/hc/en-us/articles/43855328739469-Storage-Sync-V-13-13-Miscellaneous-Improvements) で修正されました。 研究者の Damien Cash、Paul Rascagneres、Steven Adair、Tom Lancaster は、技術レポートの中で次のように述べています。 > 「アプライアンスは、被害者組織のWeb SSL VPNを介して割り当てられたIPアドレスを通じて、VerdantBambooによって定期的にアクセスされていました。脅威アクターは、Storage Syncシステムに展開されたマルウェアのプロキシ機能と、侵害された認証情報を利用して、被害者のMicrosoft 365（M365）環境にアクセスしました。」 これらの手順は、正規のネットワークトラフィックに紛れ込ませ、条件付きアクセス ポリシーを回避するために行われた可能性が高いです。初期侵害は、発見の少なくとも18ヶ月前に発生したと推定されています。 ### 復帰とMSPの侵害 初期の修復作業の後、**VerdantBamboo** は復帰し、同じ組織に再び侵入しました。今回は、盗まれた管理者認証情報を使用してファイアウォールに接続し、そのアクセスを悪用してWeb SSL VPNアクセスを設定し、他のシステムに接続し、**Synology Network Attached Storage (NAS)** アプライアンスに追加のマルウェアを展開しました。 さらなる調査により、脅威アクターが被害者組織のマネージドサービスプロバイダー（**MSP**）も侵害していたことが明らかになりました。具体的には、被害者の **Storage Sync** システムが侵害されたのとほぼ同時期に、**MSP** の **pfSense** ファイアウォールが **BRICKSTORM** のBSD亜種に感染していました。被害者の侵害は、**MSP** の侵害の直接的な結果であると考えられています。 ### VerdantBamboo のマルウェアアーセナル SSH経由で **NAS** アプライアンスに展開された2つのマルウェアファミリーは以下の通りです。 * **PLENET**（**GRIMBOLT** としても知られる）：.NET Coreで開発されたクロスプラットフォームのバックドアであり、ネイティブのAhead-of-Time（AOT）コンパイルを使用してコンパイルされた **BRICKSTORM** の新バージョンです。インタラクティブなシェル機能、リモートコマンド実行、ファイル操作、コマンド＆コントロール（C2）サーバーの切り替えを提供します。 * **AGENTPSD**：Pythonベースの逆シェルで、プライマリインプラントが失敗した場合のフォールバックメカニズムとして機能する可能性があります。 特筆すべきは、**PLENET** の実戦での使用が、今年2月に **Google** によって報告されていることです。これは、別の中国関連の脅威クラスターと疑われる **UNC6201** による攻撃に関連付けられており、2024年半ばから **Dell RecoverPoint for Virtual Machines** のゼロデイ脆弱性（**CVE-2026-22769**、CVSSスコア：10.0）を悪用していました。 ### 高度な戦術とオペレーショナルセキュリティ **Volexity** は、**VerdantBamboo** を非常に高度な脅威アクターとして説明しています。 > 「VerdantBambooは、リビング・オフ・ザ・ランド技術と、従来EDRソフトウェアを実行できない、または実行できないシステムへのマルウェア展開を組み合わせて活用しようとする、非常に高度な脅威アクターです。この脅威アクターは、独自のハードウェアアプライアンスに関する深い知識を持っているようで、カスタマイズされた永続化メカニズムを持つマルウェアを展開することを可能にしています。また、被害者ごとに限られた数のドメインとIPアドレスを活用し、デバイスごとにカスタマイズされたインプラント名と永続化を設定することを目指した、オペレーショナルセキュリティの規律を持っているようです。」 このキャンペーンは、国家支援グループがもたらす継続的な脅威と、**MSP** および特殊なアプライアンスを介して、重要なインフラストラクチャとサプライチェーンを侵害するための進化する手法を強調しています。