BRICKSTORM malware : une cybermenace chinoise dévoilée par la CISA

La CISA alerte sur BRICKSTORM malware, une porte dérobée sophistiquée utilisée par des acteurs liés à la République populaire de Chine pour maintenir un accès persistant dans des environnements Windows et VMware vSphere. Cette découverte confirme l’évolution des tactiques d’espionnage ciblant les infrastructures critiques et les environnements cloud.

Une backdoor avancée écrite en Golang

BRICKSTORM malware offre aux attaquants un accès shell interactif complet, avec des capacités de navigation, de manipulation et d’exfiltration de fichiers.

Il prend en charge plusieurs protocoles de commande et contrôle (C2) comme HTTPS, WebSockets, TLS imbriqué et DNS-over-HTTPS (DoH), ce qui lui permet de se fondre dans le trafic réseau légitime.

Le malware peut aussi agir comme un proxy SOCKS, facilitant les déplacements latéraux au sein des réseaux compromis.

Une campagne attribuée à des groupes de hacking chinois

Selon la CISA, plusieurs organismes publics et entreprises de technologies de l’information ont été touchés, même si le nombre précis d’entités n’a pas été communiqué. Pékin rejette officiellement les accusations, affirmant ne pas soutenir les cyberattaques.

BRICKSTORM malware avait déjà été documenté par Google Mandiant en 2024 lors d’attaques exploitant des failles zero-day d’Ivanti Connect Secure. Ces opérations ont été attribuées au cluster UNC5221 et à un adversaire lié à la Chine, nommé Warp Panda par CrowdStrike.

Persistance et auto-réinstallation

Le point fort de BRICKSTORM réside dans sa fonction d’autosurveillance : le malware peut se réinstaller ou redémarrer automatiquement, garantissant ainsi une présence durable malgré les tentatives de suppression ou les interruptions du système.

Intrusions via DMZ et VMware vCenter

Dans un incident analysé en 2024, les attaquants ont compromis un serveur web situé dans une DMZ via un web shell avant de se déplacer latéralement vers un serveur VMware vCenter interne afin d’y déployer BRICKSTORM malware.

Ils ont ensuite obtenu les identifiants d’un compte de service et compromis un contrôleur de domaine via le protocole RDP (Remote Desktop Protocol) pour récupérer des informations Active Directory.

Les attaquants ont également exploité le protocole SMB (Server Message Block) pour se déplacer vers des serveurs de rebond et un serveur ADFS (Active Directory Federation Services), dont ils ont exfiltré des clés cryptographiques après élévation de privilèges.

Exploitation de vulnérabilités critiques

Les groupes menaçants exploitent régulièrement des failles critiques permettant d’accéder directement aux environnements virtuels et aux hôtes ESXi. Parmi les vulnérabilités observées :

• CVE-2024-21887 (Ivanti Connect Secure)
• CVE-2023-46805 (Ivanti Connect Secure)
• CVE-2024-38812 (VMware vCenter)
• CVE-2023-34048 (VMware vCenter)
• CVE-2021-22005 (VMware vCenter)
• CVE-2023-46747 (F5 BIG-IP)

L’exploitation de ces failles permet d’atteindre rapidement les serveurs vCenter, les hôtes ESXi et les machines virtuelles invitées, où BRICKSTORM malware est ensuite déployé.

Warp Panda : des attaques ciblant les entreprises américaines

Le groupe Warp Panda, actif depuis au moins 2022, utilise BRICKSTORM malware dans des intrusions sophistiquées ciblant des environnements VMware vCenter au sein d’entreprises juridiques, industrielles et technologiques américaines.

D’après CrowdStrike, Warp Panda déploie également deux implants Golang, Junction et GuestConduit, utilisés pour contrôler les machines virtuelles et établir des tunnels réseau via VSOCK.

Junction agit comme un serveur HTTP capable d’exécuter des commandes, de gérer le trafic réseau et d’interagir avec les machines virtuelles invitées. GuestConduit, lui, réside dans une machine virtuelle invitée et met en place un écouteur VSOCK sur le port 5555 pour faciliter la communication entre les VM et les hyperviseurs.

Attaques contre le cloud et Microsoft 365

Les pirates tirent parti de leur accès pour cibler les environnements Microsoft Azure et les services associés comme OneDrive, SharePoint et Exchange.

Dans certains cas, les attaquants ont récupéré des tokens de session utilisateur, probablement en exfiltrant des fichiers de navigateur, puis en faisant transiter le trafic via des implants BRICKSTORM malware pour mener des attaques par rejeu de session et télécharger des fichiers sensibles hébergés sur SharePoint.

Les données ciblées concernent notamment des équipes d’ingénierie réseau et des équipes de réponse aux incidents, ce qui indique un objectif clair de collecte de renseignements sensibles.

Techniques de furtivité avancées

Pour rester discrets, les attaquants effacent les journaux, modifient les horodatages des fichiers et créent des machines virtuelles malveillantes qui sont arrêtées après utilisation.

BRICKSTORM se fait passer pour un processus légitime de vCenter, servant de canal de transit entre les serveurs vCenter, les hôtes ESXi et les machines virtuelles invitées, ce qui complique fortement sa détection.

Une menace persistante alignée sur les intérêts de la RPC

Selon CrowdStrike, l’adversaire cible principalement des entités en Amérique du Nord et maintient un accès clandestin à long terme aux réseaux compromis, très probablement pour soutenir des opérations de cyberespionnage alignées sur les intérêts stratégiques de la République populaire de Chine.

Warp Panda a aussi mené des reconnaissances contre une entité gouvernementale de la région Asie-Pacifique et consulté divers blogs de cybersécurité ainsi qu’un dépôt GitHub en mandarin, ce qui confirme son intérêt continu pour les environnements cloud et les infrastructures critiques.