Er is waargenomen dat een cyberspionagegroep uit China een BSD-variant van een bekende achterdeur genaamd BRICKSTORM inzet, evenals twee andere malwarefamilies met de codenaam PLENET (ook bekend als GRIMBOLT) en AGENTPSD om zich op Linux-systemen te richten.
De activiteit is door Volexity toegeschreven aan een dreigingscluster dat het volgt GroenBamboewaarvan wordt gezegd dat het overlapt met hackgroepen bekend als Clay Typhoon (Microsoft), UNC5221 (Google) en Warp Panda (CrowdStrike).
Het cyberbeveiligingsbedrijf zei dat het de inbraak ontdekte tijdens een incidentrespons in september 2025, toen bleek dat de tegenstander het Egnyte Storage Sync-systeem van een niet bij naam genoemd slachtoffer had gecompromitteerd door gebruik te maken van een lokale escalatiefout voor bevoegdheden om BRICKSTORM in te zetten. Het probleem is verholpen in Storage Sync versie 13.13, uitgebracht in maart 2026.
“VerdantBamboo had periodiek toegang tot het apparaat via IP-adressen die waren toegewezen via de SSL VPN van de slachtofferorganisatie”, zeiden onderzoekers Damien Cash, Paul Rascagneres, Steven Adair en Tom Lancaster in een technisch rapport dat vorige week werd gepubliceerd.
“De bedreigingsacteur gebruikte de proxymogelijkheden van de malware die op het Storage Sync-systeem waren geïmplementeerd, samen met gecompromitteerde inloggegevens, om toegang te krijgen tot de Microsoft 365 (M365)-omgeving van het slachtoffer.”
Er wordt aangenomen dat deze stappen zijn ondernomen om op te gaan in het legitieme netwerkverkeer en om het beleid inzake voorwaardelijke toegang te omzeilen, waarbij de aanvankelijke inbreuk minstens 18 maanden eerder plaatsvond.
Na het initiële herstel zou VerdantBamboo een terugkeer hebben georganiseerd, waarbij dezelfde organisatie werd gehackt door gestolen beheerdersreferenties te gebruiken om verbinding te maken met de firewall en vervolgens die toegang te misbruiken om web-SSL VPN-toegang tot het apparaat te configureren, verbinding te maken met andere systemen en extra malware te implementeren op een Synology Network Attached Storage (NAS)-apparaat.
Nader onderzoek heeft sindsdien aan het licht gebracht dat de bedreigingsacteur in feite de Managed Services Provider (MSP) van de slachtofferorganisatie had gecompromitteerd, waarbij hij specifiek de pfSense-firewall van de MSP had geïnfecteerd met een BSD-variant van BRICKSTORM rond dezelfde tijd dat ook het Storage Sync-systeem van het slachtoffer werd geschonden.
Er wordt aangenomen dat het slachtoffer is gecompromitteerd door de inbreuk op de MSP door de bedreigingsacteur. De twee malwarefamilies die via SSH op het NAS-apparaat worden ingezet, zijn als volgt:
- PLENET (ook bekend als GRIMBOLT), een platformonafhankelijke achterdeur ontwikkeld in .NET Core en een nieuwe versie van BRICKSTORM gecompileerd met behulp van native ahead-of-time (AOT) compilatie. Het ondersteunt interactieve shell, uitvoering van opdrachten op afstand, bestandsmanipulatie en command-and-control (C2) server-switching.
- AGENTPSD, een op Python gebaseerde omgekeerde shell die waarschijnlijk functioneert als een noodoplossing voor het geval het primaire implantaat niet meer functioneert
Het is vermeldenswaard dat het gebruik van PLENET in het wild eerder dit jaar door Google werd gemeld in verband met aanvallen van een vermoedelijk China-nexus-dreigingscluster genaamd UNC6201, dat misbruik maakte van een kwetsbaarheid in Dell RecoverPoint for Virtual Machines (CVE-2026-22769, CVSS-score: 10,0) als een zero-day sinds medio 2024.
“VerdantBamboo is een zeer geavanceerde bedreigingsacteur die een combinatie van technieken van leven buiten het land en de inzet van malware wil benutten op systemen die traditioneel geen EDR-software draaien of kunnen draaien”, aldus Volexity.
“Deze bedreigingsactoren lijken een goede kennis te hebben van propriëtaire apparaten, waardoor ze malware kunnen inzetten met aangepaste persistentiemechanismen. Ze lijken ook over een operationele veiligheidsdiscipline te beschikken die gericht is op het benutten van een beperkt aantal domeinen en IP-adressen per slachtoffer en het opzetten van aangepaste implantaatnaamgeving en persistentie per apparaat.”
