Grupo de espionagem cibernética da China ataca setores nos EUA

BR Defense Center (By River de Morais e Silva)
malware

Um grupo de espionagem cibernética suspeito de estar vinculado à China, identificado como UNC5221, tem como alvo empresas dos setores de serviços jurídicos, provedores de software como serviço (SaaS), terceirização de processos de negócios (BPOs) e tecnologia nos Estados Unidos. O grupo utiliza um backdoor conhecido como BRICKSTORM, que permite acesso persistente às organizações atacadas por mais de um ano. O objetivo principal é acessar dados de clientes e informações relacionadas à segurança nacional e propriedade intelectual. O BRICKSTORM, documentado pela primeira vez no ano passado, explora vulnerabilidades zero-day em dispositivos Ivanti Connect Secure e tem sido utilizado em ambientes Windows na Europa desde novembro de 2022. Este malware, desenvolvido em Go, possui funcionalidades avançadas, como manipulação de arquivos e execução de comandos shell, e se comunica com um servidor de comando e controle via WebSockets. A campanha é caracterizada por sua capacidade de permanecer indetectável, com um tempo médio de permanência nas redes das vítimas de 393 dias. A Google desenvolveu um scanner para ajudar potenciais vítimas a identificar a presença do BRICKSTORM em seus sistemas. A complexidade e a furtividade dessa campanha representam uma ameaça significativa para organizações que utilizam tecnologias vulneráveis.

Fonte: https://thehackernews.com/2025/09/unc5221-uses-brickstorm-backdoor-to.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
24/09/2025 • Risco: ALTO
MALWARE

Grupo de espionagem cibernética da China ataca setores nos EUA

RESUMO EXECUTIVO
A campanha BRICKSTORM representa uma ameaça significativa devido à sua sofisticação e capacidade de evadir defesas de segurança. O acesso obtido pelo grupo UNC5221 pode permitir a exploração de vulnerabilidades em tecnologias empresariais, impactando diretamente a segurança de dados e a conformidade regulatória.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a roubo de propriedade intelectual e dados sensíveis.
Operacional
Acesso não autorizado a dados sensíveis e informações estratégicas.
Setores vulneráveis
['Tecnologia', 'Serviços Jurídicos', 'SaaS']

📊 INDICADORES CHAVE

393 dias é o tempo médio de permanência do malware nas redes das vítimas. Indicador
BRICKSTORM foi utilizado em ataques desde pelo menos novembro de 2022. Contexto BR
Vulnerabilidades exploradas incluem CVE-2023-46805 e CVE-2024-21887. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividades em dispositivos Ivanti Connect Secure e sistemas Linux/BSD.
2 Implementar patches para as vulnerabilidades CVE-2023-46805 e CVE-2024-21887.
3 Monitorar continuamente por atividades suspeitas e a presença do backdoor BRICKSTORM.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de acesso a dados sensíveis e a exploração de vulnerabilidades em tecnologias amplamente utilizadas, o que pode resultar em perdas financeiras e danos à reputação.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD, especialmente no tratamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).