Unc5221

O grupo de espionagem chinês UNC5221, também conhecido como VerdantBamboo, tem explorado ambientes Microsoft 365 utilizando a backdoor Brickstorm e malwares não documentados, como Plenet e AgentPSD. A investigação revelou que os atacantes conseguiram acesso à rede da vítima por pelo menos 18 meses antes de serem detectados, comprometendo também o provedor de serviços gerenciados (MSP) da organização alvo. O Brickstorm, descrito como um implante de malware avançado, foi utilizado de forma indetectável em várias organizações nos Estados Unidos até a descoberta das brechas em março de 2025. Os pesquisadores da Volexity identificaram que os hackers acessaram um sistema de armazenamento Egnyte e, a partir daí, conseguiram entrar no ambiente Microsoft 365 da vítima, utilizando técnicas para se misturar ao tráfego legítimo e evitar políticas de acesso condicional. Após a remediação inicial, os atacantes conseguiram invadir a organização novamente, utilizando credenciais roubadas para configurar o acesso VPN e implantar malware adicional. O Plenet, um backdoor baseado em .NET, e o AgentPSD, uma ferramenta de shell reverso em Python, foram utilizados como mecanismos de persistência. A CISA emitiu alertas sobre a utilização do Brickstorm por hackers chineses, destacando a necessidade de atenção redobrada para a segurança em ambientes que não suportam soluções de detecção e resposta de endpoint (EDR).