Grupo de espionagem chinês UNC5221 compromete ambientes Microsoft 365

BR Defense Center (By River de Morais e Silva)
malware

O grupo de espionagem chinês UNC5221, também conhecido como VerdantBamboo, tem explorado ambientes Microsoft 365 utilizando a backdoor Brickstorm e malwares não documentados, como Plenet e AgentPSD. A investigação revelou que os atacantes conseguiram acesso à rede da vítima por pelo menos 18 meses antes de serem detectados, comprometendo também o provedor de serviços gerenciados (MSP) da organização alvo. O Brickstorm, descrito como um implante de malware avançado, foi utilizado de forma indetectável em várias organizações nos Estados Unidos até a descoberta das brechas em março de 2025. Os pesquisadores da Volexity identificaram que os hackers acessaram um sistema de armazenamento Egnyte e, a partir daí, conseguiram entrar no ambiente Microsoft 365 da vítima, utilizando técnicas para se misturar ao tráfego legítimo e evitar políticas de acesso condicional. Após a remediação inicial, os atacantes conseguiram invadir a organização novamente, utilizando credenciais roubadas para configurar o acesso VPN e implantar malware adicional. O Plenet, um backdoor baseado em .NET, e o AgentPSD, uma ferramenta de shell reverso em Python, foram utilizados como mecanismos de persistência. A CISA emitiu alertas sobre a utilização do Brickstorm por hackers chineses, destacando a necessidade de atenção redobrada para a segurança em ambientes que não suportam soluções de detecção e resposta de endpoint (EDR).

Fonte: https://www.bleepingcomputer.com/news/security/chinese-apt-deploys-new-malware-to-keep-access-to-hacked-networks/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
05/06/2026 • Risco: ALTO
MALWARE

Grupo de espionagem chinês UNC5221 compromete ambientes Microsoft 365

RESUMO EXECUTIVO
O grupo UNC5221 representa uma ameaça significativa, utilizando técnicas avançadas para comprometer redes e sistemas críticos. A detecção tardia e a persistência dos ataques destacam a necessidade de vigilância contínua e melhorias nas defesas cibernéticas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a compromissos de dados e interrupções operacionais.
Operacional
Comprometimento de dados e sistemas críticos, acesso não autorizado prolongado.
Setores vulneráveis
['Tecnologia', 'Serviços financeiros', 'Saúde']

📊 INDICADORES CHAVE

18 meses de acesso não detectado Indicador
Várias organizações nos EUA afetadas Contexto BR
Comprometimento de um provedor de serviços gerenciados Urgência

⚡ AÇÕES IMEDIATAS

1 Auditar logs de acesso e autenticação em ambientes Microsoft 365 e serviços gerenciados.
2 Implementar políticas de acesso condicional e autenticação multifator (MFA) imediatamente.
3 Monitorar continuamente atividades suspeitas e tráfego de rede em busca de sinais de comprometimento.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a sofisticação dos ataques e a possibilidade de exploração de serviços amplamente utilizados, como o Microsoft 365, que é comum em muitas empresas brasileiras.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Status
investigacao
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).