A empresa de cibersegurança **Volexity** atribuiu atividades recentes de espionagem cibernética a um cluster de ameaças com nexo na China que rastreia como **VerdantBamboo**. Este grupo foi observado implantando uma variante BSD do conhecido backdoor **BRICKSTORM**, juntamente com duas famílias de malware anteriormente não documentadas, **PLENET** (também conhecido como **GRIMBOLT**) e **AGENTPSD**, visando principalmente sistemas Linux. As operações do **VerdantBamboo** mostram sobreposição com outros grupos de hacking proeminentes, incluindo **Clay Typhoon** (rastreado pela **Microsoft**), **UNC5221** (**Google**) e **Warp Panda** (**CrowdStrike**). ### Brecha Inicial via Egnyte Storage Sync A **Volexity** descobriu a intrusão pela primeira vez durante um engajamento de resposta a incidentes em setembro de 2025. O adversário comprometeu o sistema **Egnyte Storage Sync** de uma vítima não identificada, explorando uma falha de escalonamento de privilégios local para implantar o **BRICKSTORM**. Essa vulnerabilidade foi subsequentemente corrigida no Storage Sync [versão 13.13](https://helpdesk.egnyte.com/hc/en-us/articles/43855328739469-Storage-Sync-V-13-13-Miscellaneous-Improvements), lançada em março de 2026. Os pesquisadores Damien Cash, Paul Rascagneres, Steven Adair e Tom Lancaster afirmaram em seu relatório técnico: > "O appliance era periodicamente acessado pelo VerdantBamboo via endereços IP atribuídos através da SSL VPN web da organização vítima. O ator de ameaça usou as capacidades de proxy do malware implantado no sistema Storage Sync, juntamente com credenciais comprometidas, para acessar o ambiente Microsoft 365 (M365) da vítima." Essas etapas provavelmente foram tomadas para se misturar ao tráfego de rede legítimo e evadir políticas de Acesso Condicional. Estima-se que o comprometimento inicial tenha ocorrido pelo menos 18 meses antes da descoberta. ### Retorno e Comprometimento de MSP Após os esforços iniciais de remediação, o **VerdantBamboo** planejou um retorno, invadindo a mesma organização novamente. Desta vez, eles utilizaram credenciais administrativas roubadas para se conectar ao firewall, abusando desse acesso para configurar o acesso à SSL VPN web, conectar-se a outros sistemas e implantar malware adicional em um appliance **Synology Network Attached Storage (NAS)**. Investigações adicionais revelaram que o ator de ameaça também havia comprometido o Provedor de Serviços Gerenciados (**MSP**) da organização vítima. Especificamente, o firewall **pfSense** do **MSP** foi infectado com uma variante BSD do **BRICKSTORM** aproximadamente na mesma época em que o sistema **Storage Sync** da vítima foi invadido. Acredita-se que o comprometimento da vítima foi um resultado direto da invasão do **MSP**. ### Arsenal de Malware do VerdantBamboo As duas famílias de malware implantadas no appliance **NAS** via SSH incluem: * **PLENET** (também conhecido como **GRIMBOLT**): Um backdoor multiplataforma desenvolvido em .NET Core e uma nova versão do **BRICKSTORM** compilada usando compilação nativa ahead-of-time (AOT). Ele oferece capacidades de shell interativo, execução remota de comandos, manipulação de arquivos e troca de servidor de comando e controle (C2). * **AGENTPSD**: Um reverse shell baseado em Python que provavelmente serve como um mecanismo de fallback caso o implante primário falhe. Notavelmente, o uso do **PLENET** em campo foi relatado pelo **Google** em fevereiro deste ano. Ele foi vinculado a ataques de outro cluster de ameaças suspeito com nexo na China, **UNC6201**, que explorou uma vulnerabilidade zero-day no **Dell RecoverPoint for Virtual Machines** (**CVE-2026-22769**, CVSS score: 10.0) desde meados de 2024. ### Táticas Sofisticadas e Segurança Operacional A **Volexity** descreve o **VerdantBamboo** como um ator de ameaça altamente sofisticado: > "VerdantBamboo é um ator de ameaça altamente sofisticado que busca alavancar uma combinação de técnicas living-off-the-land e implantação de malware em sistemas que tradicionalmente não executam ou não podem executar software EDR. Este ator de ameaça parece ter bom conhecimento de appliances proprietários, permitindo-lhes implantar malware com mecanismos de persistência personalizados. Eles também parecem ter disciplina de segurança operacional voltada para o uso de um número limitado de domínios e endereços IP por vítima e configuração de nomes de implantes e persistência personalizados por dispositivo." Esta campanha ressalta a ameaça persistente representada por grupos patrocinados por estados e seus métodos em evolução para comprometer infraestrutura crítica e cadeias de suprimentos através de **MSP**s e appliances especializados.