Um grupo de espionagem chinês, rastreado como **UNC5221**, foi observado acessando ambientes **Microsoft 365** utilizando o backdoor **Brickstorm** e malwares previamente não documentados chamados **Plenet** e **AgentPSD**. Uma investigação sobre o incidente revelou que o ator de ameaça obteve acesso à rede da vítima pelo menos 18 meses antes da detecção, com as violações descobertas por volta de março de 2025. O grupo também comprometeu o **Provedor de Serviços Gerenciados (MSP)** da organização vítima. **UNC5221** também é conhecido como **VerdantBamboo** e tem estado envolvido em ataques que exploram vulnerabilidades 0-day em dispositivos de borda desde pelo menos 2023. O backdoor **Brickstorm** foi usado sem detecção em vários alvos nos EUA por mais de um ano. Pesquisadores descrevem **Brickstorm** como um "implant de malware avançado", com variantes iniciais escritas em **Golang** e as mais novas surgindo em **Rust**. O **Google** documentou pela primeira vez a atividade do **UNC5221** utilizando **Brickstorm** em abril de 2024, e [novamente em setembro de 2025](https://www.bleepingcomputer.com/news/security/google-brickstorm-malware-used-to-steal-us-orgs-data-for-over-a-year/), detalhando ataques contra serviços jurídicos, provedores de software como serviço, terceirizadores de processos de negócios e empresas de tecnologia. A **CISA** também alertou sobre **Brickstorm** sendo implantado por hackers chineses [contra servidores VMware vSphere](https://www.bleepingcomputer.com/news/security/cisa-warns-of-chinese-brickstorm-malware-attacks-on-vmware-servers/). Mais recentemente, o **Google** relatou sua implantação pelo **UNC6201** [contra Dell RecoverPoint for Virtual Machines](https://www.bleepingcomputer.com/news/security/chinese-hackers-exploiting-dell-zero-day-flaw-since-mid-2024/). ### Comprometimento Profundo e Dupla Intrusão Pesquisadores da **Volexity**, respondendo a um incidente no ano passado, descobriram que **VerdantBamboo** comprometeu um sistema **Egnyte Storage Sync** e o acessou periodicamente através da SSL VPN web da vítima. A partir desse ponto de apoio, utilizando os recursos de proxy do **Brickstorm** e credenciais roubadas, o ator de ameaça acessou o ambiente **Microsoft 365** da organização. "**Volexity** avalia com alta confiança que isso foi feito para se misturar ao tráfego de rede legítimo e evadir [políticas de Acesso Condicional](https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview) que, de outra forma, teriam impedido o acesso", disseram os [pesquisadores](https://www.volexity.com/blog/2026/06/04/verdantbamboo-just-another-brickstorm-in-the-firewall/). Posteriormente, a **Volexity** descobriu que os hackers passaram pelo menos 18 meses na rede antes de serem detectados. Além disso, **VerdantBamboo** violou a organização novamente após os pesquisadores concluírem os esforços de remediação. Na segunda intrusão, os atacantes usaram credenciais roubadas para habilitar e configurar o acesso SSL VPN no firewall da vítima, depois se conectaram a sistemas internos e implantaram malware customizado adicional em um dispositivo **Synology NAS**. Isso desencadeou uma investigação no **MSP** do cliente, onde a **Volexity** descobriu que **VerdantBamboo** havia plantado uma variante **BSD** do **Brickstorm** em um firewall **pfSense**. A **Volexity** concluiu que este firewall, assim como o sistema **Storage Sync** da organização vítima, também havia sido comprometido pelo menos 18 meses antes. Os pesquisadores têm confiança média de que o atacante pivotou do **MSP** para o ambiente da organização vítima. O **Brickstorm** foi subsequentemente implantado no appliance **Egnyte Storage Sync** da vítima e em um servidor de arquivo de e-mail **Linux GroupWise** aposentado. ### Revelando Novos Malwares: Plenet e AgentPSD Ao restabelecer o acesso à infraestrutura da vítima alguns dias depois, os atacantes implantaram o malware customizado **Plenet** em um appliance **Synology NAS**. **Plenet**, também rastreado como "**Grimbolt**" pelo **Google**, é um backdoor multiplataforma baseado em **.NET** que oferece acesso a shell interativo, execução remota de comandos, manipulação de arquivos e troca de servidor de comando e controle (C2). Os pesquisadores observam que **Plenet** é semelhante em design ao **Brickstorm**, utilizando o protocolo **WebSocket** para comunicações C2 e uma biblioteca de multiplexação para fluxos de dados simultâneos para o servidor. **AgentPSD** é uma utilidade simples de reverse shell baseada em Python que a **Volexity** acredita que **VerdantBamboo** usou como um mecanismo de persistência de fallback caso outros malwares se tornassem inacessíveis. Embora **AgentPSD** tenha sido configurado para se conectar a um domínio diferente do **Brickstorm**, ele nunca foi usado, pois o **Brickstorm** permaneceu operacional, apoiando a avaliação de que **AgentPSD** era um mecanismo de acesso secundário. Durante a investigação, a **Volexity** tentou descobrir a infraestrutura do **VerdantBamboo**, criando uma impressão digital para identificar endereços IP e domínios C2 do **Brickstorm**. Embora várias máquinas tenham sido identificadas, o ator de ameaça tirou a infraestrutura do ar entre 18 e 23 de setembro, antes que os pesquisadores pudessem revelar outros sistemas. Esse timing, coincidindo com o novo relatório do **Google** sobre a atividade do **Brickstorm**, sugere que o atacante pode ter estado ciente da investigação em andamento. A **Volexity** descreve **VerdantBamboo**/**UNC5221** como "um ator de ameaça altamente sofisticado" que combina técnicas de living-off-the-land com malware customizado, visando especificamente sistemas que não suportam soluções de **Endpoint Detection and Response (EDR)**. Os pesquisadores compilaram uma lista de indicadores de comprometimento (IOCs) ligados à campanha investigada do **UNC5221**, que estão publicamente disponíveis [aqui](https://github.com/volexity/threat-intel/tree/main/2026/2026-06-04%20VerdantBamboo).