Kelompok spionase Tiongkok yang dilacak sebagai UNC5221 telah mengakses lingkungan Microsoft 365 menggunakan pintu belakang Brickstorm dan malware yang sebelumnya tidak berdokumen bernama Plenet dan AgentPSD.
Investigasi atas insiden tersebut mengungkapkan bahwa pelaku ancaman telah memperoleh akses ke jaringan korban setidaknya 18 bulan sebelum terdeteksi, dan juga telah menyusupi penyedia layanan terkelola (MSP) milik organisasi korban.
UNC5221 juga dilacak sebagai VerdantBamboo dan telah terlibat dalam serangan yang mengeksploitasi kerentanan zero-day di perangkat edge setidaknya sejak tahun 2023.
Pelaku ancaman menggunakan pintu belakang Brickstorm tanpa terdeteksi di lingkungan berbagai target di Amerika Serikat selama lebih dari satu tahun hingga pelanggaran ditemukan sekitar Maret 2025.
Para peneliti menggambarkan Brickstorm sebagai “implan malware tingkat lanjut”. Varian awal ditulis dalam Golang, kemudian muncul varian baru yang ditulis dalam Rust.
Pada bulan April 2024, Google mendokumentasikan aktivitas UNC5221 menggunakan pintu belakang, dan kemudian lagi pada bulan September 2025menggambarkan serangan terhadap layanan hukum, penyedia perangkat lunak sebagai layanan, agen outsourcing proses bisnis, dan perusahaan teknologi.
CISA memperingatkan tentang Brickstorm yang dikerahkan oleh peretas Tiongkok terhadap server VMware vSpheredan, baru-baru ini, Google melaporkan hal tersebut dikerahkan oleh UNC6201 terhadap Dell RecoverPoint untuk Mesin Virtual.
Korban diretas sebanyak dua kali
Peneliti Volexity yang menanggapi insiden tahun lalu menemukan bahwa VerdantBamboo menyusupi sistem Egnyte Storage Sync dan mengaksesnya secara berkala melalui SSL VPN web korban.
Dari pijakan ini dan menggunakan fitur proksi Brickstorm serta kredensial yang dicuri, pelaku ancaman mengakses lingkungan Microsoft 365 organisasi.
“Volexity menilai dengan keyakinan tinggi bahwa ini dilakukan untuk berbaur dengan lalu lintas jaringan yang sah dan menghindarinya Kebijakan Akses Bersyarat yang sebaliknya akan mencegah akses,” itu kata peneliti.
Belakangan, Volexity menemukan bahwa para peretas telah menghabiskan setidaknya 18 bulan di jaringan sebelum terdeteksi. Selain itu, VerdantBamboo kembali membobol organisasi setelah para peneliti menyelesaikan upaya remediasi.
Pada intrusi kedua, penyerang menggunakan kredensial yang dicuri untuk mengaktifkan dan mengonfigurasi akses SSL VPN di firewall korban, kemudian terhubung ke sistem internal dan menyebarkan malware khusus tambahan ke perangkat Synology NAS.
Hal ini memicu penyelidikan di MSP pelanggan, di mana Volexity menemukan bahwa VerdantBamboo telah menanam Brickstorm varian BSD pada firewall pfSense.
“Volexity menyimpulkan bahwa firewall ini, seperti sistem Storage Sync milik organisasi korban, juga telah disusupi setidaknya 18 bulan sebelumnya.”
Para peneliti memiliki keyakinan sedang bahwa penyerang beralih dari MSP ke lingkungan organisasi korban.
Brickstorm kemudian disebarkan ke alat Egnyte Storage Sync milik korban dan ke server arsip email Linux GroupWise yang sudah tidak digunakan lagi.
Pintu belakang baru digunakan
Setelah penyerang kembali beberapa hari kemudian dan mendapatkan kembali akses ke infrastruktur korban, mereka menyebarkan malware khusus Plenet ke peralatan NAS Synology.
Plenet, juga dilacak sebagai “Grimbolt” oleh Google, adalah pintu belakang berbasis .NET lintas platform yang menawarkan akses shell interaktif, eksekusi perintah jarak jauh, manipulasi file, dan peralihan server perintah-dan-kontrol (C2).
Para peneliti mencatat bahwa Plenet memiliki desain yang mirip dengan Brockstorm, menggunakan protokol WebSocket untuk komunikasi C2 dan perpustakaan multiplexing untuk aliran data simultan ke server.
AgentPSD adalah utilitas shell balik sederhana berbasis Python yang menurut Volexity digunakan oleh VerdantBamboo sebagai mekanisme persistensi cadangan jika malware lain tidak lagi dapat diakses.
Para peneliti menemukan bahwa AgentPSD dikonfigurasi untuk terhubung ke domain yang berbeda dari yang digunakan Brickstorm. Namun, malware tersebut tidak pernah digunakan karena Brickstorm masih berjalan, yang mendukung penilaian bahwa AgentPSD adalah mekanisme akses sekunder.
Selama penyelidikan, Volexity mencoba menemukan infrastruktur yang terkait dengan VerdantBamboo. Para peneliti membuat sidik jari untuk mengidentifikasi alamat IP dan domain Brickstorm yang digunakan untuk komunikasi C2.
Meskipun beberapa mesin teridentifikasi, pelaku ancaman menjadikan infrastruktur offline sebelum para peneliti dapat mengungkap sistem lainnya.
“Antara 18 September dan 23 September, semua server yang sebelumnya cocok dengan pola ini mematikan layanan mereka pada port 443.”
Sekitar waktu itu, Google juga menerbitkan laporan baru tentang aktivitas Brickstorm, yang mungkin menunjukkan bahwa penyerang mengetahui operasi mereka sedang diselidiki.
Volexity menggambarkan VerdantBamboo/UNC5221 sebagai “aktor ancaman yang sangat canggih” yang menggabungkan teknik hidup di luar negeri dan malware serta menargetkan sistem yang tidak mendukung solusi deteksi dan respons titik akhir (EDR).
Para peneliti menyusun daftar indikator kompromi (IOCs) yang terkait dengan kampanye UNC5221 yang diselidiki dan menerbitkannya Di Sini.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
