BRICKSTORM: la nuova arma cyber della Cina contro le infrastrutture critiche occidentali

Il 4 dicembre 2025, la National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA) e il Canadian Centre for Cyber Security hanno pubblicato un’analisi congiunta su BRICKSTORM, una famiglia di malware attribuita ad attori state-sponsored della Repubblica Popolare Cinese (RPC). Il rapporto tecnico, che esamina otto campioni distinti del malware, documenta una campagna di cyber-spionaggio che ha mantenuto accesso persistente alle reti delle vittime per periodi prolungati, in alcuni casi dall’aprile 2024 al settembre 2025.

Anatomia di una backdoor sofisticata

BRICKSTORM rappresenta un’evoluzione significativa nelle capacità offensive cinesi. Scritto in Golang, un linguaggio di programmazione che garantisce ampia compatibilità cross-platform, questo impianto malevolo è stato progettato specificamente per operare negli ambienti di virtualizzazione VMware vSphere, una piattaforma utilizzata da centinaia di migliaia di organizzazioni governative e private in tutto il mondo.

Le capacità tecniche del malware sono notevoli. BRICKSTORM fornisce agli attaccanti accesso interattivo alla shell del sistema compromesso, consentendo la navigazione del file system, l’upload e il download di file, la creazione ed eliminazione di directory e l’esecuzione di comandi arbitrari. Il malware supporta inoltre molteplici protocolli di comunicazione, tra cui HTTPS, WebSocket e canali TLS nidificati per le comunicazioni command-and-control (C2).

Una caratteristica particolarmente insidiosa è l’utilizzo di DNS-over-HTTPS (DoH) per mascherare le comunicazioni C2 e integrarle nel traffico di rete legittimo. Il malware può inoltre funzionare come proxy SOCKS, facilitando il movimento laterale all’interno delle reti compromesse.

Elemento critico per la persistenza, BRICKSTORM include una funzione di auto-monitoraggio che consente il reinstallo o il riavvio automatico in caso di interruzione, garantendo la continuità operativa anche di fronte a tentativi di rimozione.

I threat actor: UNC5221 e WARP PANDA

L’attività associata a BRICKSTORM è stata attribuita a due cluster di minaccia principali. Google Threat Intelligence Group (GTIG) e Mandiant collegano le intrusioni a UNC5221 e cluster correlati, mentre CrowdStrike ha identificato un nuovo avversario denominato WARP PANDA.

Secondo l’analisi di CrowdStrike pubblicata contestualmente all’advisory governativo, WARP PANDA è attivo almeno dal 2022 e dimostra un elevato livello di sofisticazione tecnica, competenze avanzate in materia di sicurezza operativa (OPSEC) e conoscenza approfondita degli ambienti cloud e delle macchine virtuali. L’avversario si concentra sul mantenimento di accessi persistenti e a lungo termine alle reti compromesse, presumibilmente per supportare operazioni di raccolta intelligence allineate agli interessi strategici della RPC.

I dati di Mandiant sono eloquenti: il tempo medio di permanenza (dwell time) degli attaccanti nelle reti delle vittime è stato di 393 giorni, un periodo che in molti casi ha superato i tempi di retention dei log, rendendo estremamente difficile la ricostruzione del vettore di accesso iniziale.

Vettori di compromissione e catena d’attacco

L’analisi delle intrusioni rivela un pattern ricorrente che privilegia la compromissione di dispositivi perimetrali e infrastrutture di accesso remoto. Gli attaccanti hanno sfruttato diverse vulnerabilità zero-day e n-day, tra cui:

Le vulnerabilità CVE-2024-21887 e CVE-2023-46805 che colpiscono le appliance VPN Ivanti Connect Secure, consentendo il bypass dell’autenticazione e l’esecuzione remota di comandi. La CVE-2024-38812, una vulnerabilità heap-overflow nell’implementazione del protocollo DCERPC di VMware vCenter. La CVE-2023-46747, che consente il bypass dell’autenticazione su dispositivi F5 BIG-IP. Le CVE-2023-34048 e CVE-2021-22005, entrambe critiche per i server vCenter.

Una volta ottenuto l’accesso iniziale attraverso dispositivi edge compromessi, gli attaccanti pivotano verso gli ambienti vCenter utilizzando credenziali valide precedentemente sottratte o sfruttando ulteriori vulnerabilità. Il movimento laterale avviene tipicamente tramite SSH e l’account privilegiato di gestione vCenter “vpxuser”, un account nativo la cui password è gestita automaticamente da vCenter ed è unica per ogni host ESXi.

In almeno un caso documentato dalla CISA, gli attaccanti hanno inizialmente compromesso un web server nella DMZ dell’organizzazione vittima tramite una web shell, per poi spostarsi lateralmente verso un server vCenter interno e impiantare BRICKSTORM. Da lì, hanno ottenuto le credenziali di account di servizio e si sono spostati verso un domain controller nella DMZ utilizzando RDP, catturando informazioni Active Directory. Gli attaccanti hanno inoltre compromesso le credenziali di un Managed Service Provider (MSP), utilizzandole per saltare dal domain controller interno al server vCenter.

Strumenti e tecniche avanzate

Oltre a BRICKSTORM, gli attaccanti hanno dispiegato un arsenale di strumenti supplementari. BRICKSTEAL è un filtro Servlet Java malevolo per il server Apache Tomcat che alimenta l’interfaccia web di vCenter. Questo componente intercetta le richieste HTTP ai percorsi di login SAML, decodificando gli header di autenticazione HTTP Basic che possono contenere username e password. Dato che molte organizzazioni utilizzano l’autenticazione Active Directory per vCenter, BRICKSTEAL può catturare credenziali con privilegi elevati nell’intera infrastruttura enterprise.

SLAYSTYLE, tracciato da MITRE come BEEFLUSH, è una web shell JSP che funge da backdoor, ricevendo ed eseguendo comandi arbitrari del sistema operativo passati tramite richieste HTTP.

CrowdStrike ha inoltre identificato due impianti Golang precedentemente non documentati. Junction è progettato per i server VMware ESXi e si maschera come un servizio legittimo ascoltando sulla porta 8090. Funziona come server HTTP con capacità estese che includono l’esecuzione di comandi, il proxy del traffico di rete e la comunicazione con le VM guest tramite VM sockets (VSOCK). GuestConduit opera all’interno delle VM guest, stabilendo un listener VSOCK sulla porta 5555 per facilitare la comunicazione tra VM guest e hypervisor, permettendo il tunneling del traffico di rete.

Tecniche di evasione e persistenza

Gli attaccanti dimostrano una notevole attenzione all’evasione delle misure di sicurezza. Le tecniche documentate includono la cancellazione sistematica dei log, il timestomping dei file per mascherare le attività malevole e la creazione di VM “rogue” non registrate nel server vCenter che vengono spente dopo l’uso.

Per la persistenza, gli attaccanti modificano i file di avvio del sistema come init.d, rc.local o systemd per garantire che BRICKSTORM si avvii al reboot dell’appliance. In diversi casi, hanno utilizzato l’utility sed per modificare script di avvio legittimi e inserire il lancio del malware.

Una tecnica particolarmente sofisticata riguarda il cloning di macchine virtuali di sistemi critici come domain controller, identity provider SSO e vault di credenziali. Clonando queste VM, gli attaccanti possono montare il filesystem ed estrarre file sensibili, come il database Active Directory Domain Services (ntds.dit), senza mai avviare il clone e quindi senza attivare i tool di sicurezza installati sui sistemi originali.

Mandiant ha inoltre documentato un campione di BRICKSTORM con un timer di ritardo incorporato che attendeva una data futura codificata nel codice prima di iniziare a comunicare con l’infrastruttura C2. Questo backdoor è stato dispiegato su un server vCenter interno dopo che l’organizzazione vittima aveva già avviato le operazioni di incident response, dimostrando che gli attaccanti monitoravano attivamente la situazione e adattavano rapidamente le loro tattiche.

Obiettivi e implicazioni geopolitiche

I settori colpiti includono servizi governativi, tecnologia, servizi legali, provider SaaS, Business Process Outsourcer (BPO) e manifatturiero, con una concentrazione geografica in Nord America. CrowdStrike ha inoltre rilevato che WARP PANDA ha condotto attività di ricognizione contro un’entità governativa dell’area Asia-Pacifico utilizzando l’accesso a una delle reti compromesse.

Il targeting dei settori legale e tecnologico assume particolare rilevanza strategica. Secondo GTIG, la compromissione di studi legali è probabilmente finalizzata alla raccolta di informazioni relative alla sicurezza nazionale e al commercio internazionale statunitense. L’obiettivo dei provider SaaS è invece l’accesso agli ambienti dei clienti downstream o ai dati che questi provider ospitano per conto dei loro clienti. La compromissione di aziende tecnologiche offre opportunità per il furto di proprietà intellettuale utile allo sviluppo di ulteriori exploit zero-day.

In almeno un’intrusione, gli attaccanti hanno specificamente acceduto agli account email di dipendenti che lavorano su tematiche allineate agli interessi del governo cinese.

Attività cloud-conscious

WARP PANDA dimostra capacità avanzate negli ambienti cloud. Nella tarda estate 2025, gli attaccanti hanno sfruttato l’accesso agli ambienti Microsoft Azure di multiple organizzazioni per accedere a dati Microsoft 365 archiviati in OneDrive, SharePoint ed Exchange.

In un caso, hanno ottenuto token di sessione utente, probabilmente esflitrando file browser degli utenti, e hanno tunnelizzato il traffico attraverso gli impianti BRICKSTORM per accedere ai servizi Microsoft 365 tramite session replay. Gli attaccanti hanno successivamente acceduto e scaricato file SharePoint sensibili relativi ai team di network engineering e incident response dell’organizzazione.

Per stabilire persistenza negli ambienti cloud, gli attaccanti hanno registrato nuovi dispositivi MFA tramite codici dell’app Authenticator dopo aver effettuato il login iniziale agli account utente. In un’altra intrusione, hanno utilizzato le Microsoft Graph API per enumerare service principals, applicazioni, utenti, ruoli directory ed email.

Per mascherare le loro attività, gli attaccanti hanno utilizzato servizi VPN commerciali come PIA, NordVPN, Surfshark, VPN Unlimited e PrivadoVPN. Mandiant ha inoltre identificato evidenze di una rete di offuscamento costruita ad hoc utilizzando router SOHO (Small Office/Home Office) compromessi.

La risposta delle autorità

Madhu Gottumukkala, direttore ad interim della CISA, ha dichiarato che l’advisory sottolinea le gravi minacce poste dalla Repubblica Popolare Cinese che creano continue esposizioni e costi per la cybersecurity degli Stati Uniti, degli alleati e delle infrastrutture critiche da cui tutti dipendiamo.

Le autorità raccomandano alle organizzazioni, specialmente quelle nei settori delle infrastrutture critiche, dei servizi governativi e dell’Information Technology, di utilizzare gli indicatori di compromissione (IOC) e le firme di rilevamento forniti nel rapporto tecnico per individuare attività BRICKSTORM. In caso di rilevamento, è richiesta la segnalazione immediata della compromissione.

Un portavoce dell’ambasciata cinese a Washington ha respinto le accuse in una dichiarazione rilasciata a Reuters, affermando che il governo cinese non incoraggia, supporta o tollera attacchi informatici.

Raccomandazioni per la difesa

Le organizzazioni dovrebbero implementare diverse misure di mitigazione. È essenziale creare o aggiornare l’inventario degli asset che includa dispositivi edge e altre appliance non coperte dallo stack di sicurezza standard. Le appliance non dovrebbero avere accesso illimitato a Internet né alle reti interne.

Per gli ambienti vSphere, si raccomanda di abilitare il forwarding dei log verso un SIEM centralizzato, attivare la modalità lockdown di vSphere, applicare l’MFA per i login web e applicare la policy execInstalledOnly. È opportuno considerare la disabilitazione dell’accesso SSH agli host ESXi e monitorare le autenticazioni SSH, in particolare quelle come root e vpxuser.

Per i sistemi di credential vaulting, è necessario valutare e migliorare l’isolamento, trattandoli come sistemi Tier 0 con controlli di accesso rigorosi.

Mandiant ha rilasciato uno script scanner disponibile su GitHub che può essere eseguito su appliance *nix-based per identificare la presenza di BRICKSTORM senza richiedere l’installazione di YARA.

BRICKSTORM rappresenta l’ennesima manifestazione della strategia cyber cinese di prepositioning nelle infrastrutture critiche occidentali. Come già documentato con la campagna Volt Typhoon, che ha silenziosamente incorporato impianti in sistemi chiave come contingenza per potenziali conflitti futuri, anche questa operazione evidenzia una paziente costruzione di accessi persistenti finalizzati allo spionaggio e al potenziale sabotaggio.

La sofisticazione tecnica dimostrata, dalla progettazione cross-platform all’uso di DNS-over-HTTPS, dal targeting di ambienti di virtualizzazione all’impiego di tecniche avanzate di evasione, indica un avversario ben finanziato e tecnicamente preparato. Il tempo medio di permanenza di quasi 400 giorni nelle reti compromesse sottolinea l’efficacia di queste tecniche e la difficoltà delle organizzazioni nel rilevare minacce così sofisticate.

Per le organizzazioni italiane ed europee che utilizzano infrastrutture VMware e servizi cloud Microsoft, questa campagna costituisce un monito inequivocabile sulla necessità di rivalutare i propri modelli di minaccia per le appliance di rete e condurre esercitazioni di threat hunting specifiche per questo attore altamente evasivo.

L’articolo BRICKSTORM: la nuova arma cyber della Cina contro le infrastrutture critiche occidentali proviene da Difesa Online.

Le agenzie di intelligence statunitensi e canadesi rivelano una sofisticata campagna di spionaggio informatico che ha colpito governi e aziende tecnologiche per oltre un anno.

L’articolo BRICKSTORM: la nuova arma cyber della Cina contro le infrastrutture critiche occidentali proviene da Difesa Online.