🎧 Ascolta l’articolo ▶️ (durata 3’43” con la voce di Remy)
L’intelligence di Google e Mandiant rivela una sofisticata campagna di spionaggio informatico che ha preso di mira i settori legale e tecnologico negli Stati Uniti, sfruttando un backdoor evasivo per un accesso a lungo termine.
Recentemente, l’attenzione della comunità di cybersecurity si è concentrata sulla scoperta di una sofisticata operazione di spionaggio informatico denominata BRICKSTORM. Secondo i rapporti di Google Threat Intelligence Group (GTIG) e Mandiant (entrambe parte di Google Cloud), un cluster di minacce allineato con gli interessi della Cina, noto come UNC5221, ha utilizzato un backdoor cross-platform (chiamato anch’esso BRICKSTORM) per compromettere organizzazioni statunitensi per un periodo prolungato, in alcuni casi per oltre un anno, rimanendo indisturbato.
La campagna, attiva almeno da marzo 2025, ha preso di mira principalmente:
- studi legali – Per rubare informazioni relative alla sicurezza nazionale e al commercio internazionale degli Stati Uniti;
- aziende tecnologiche e fornitori di software-as-a-service (SaaS) – Per la potenziale acquisizione di proprietà intellettuale;
- organizzazioni di business process outsourcing (BPO).
Il cuore dell’attacco è il malware BRICKSTORM, scritto in Go e progettato specificamente per la persistenza su appliance di rete e sistemi di gestione che spesso non sono coperti dai tradizionali strumenti di rilevamento degli endpoint (EDR/antivirus). Tra i sistemi presi di mira figurano:
- host VMware vCenter ed ESXi;
- appliance basate su Linux e BSD.
Gli aggressori hanno spesso distribuito BRICKSTORM su appliance perimetrali, ottenendo un punto d’appoggio per poi spostarsi lateralmente verso i sistemi VMware, talvolta utilizzando credenziali valide, probabilmente rubate (ad esempio, tramite un componente aggiuntivo denominato BRICKSTEAL installato sui server vCenter).
La strategia di UNC5221 era incentrata sull’elusione e sulla persistenza a lungo termine. La durata media di permanenza degli aggressori nelle reti vittime è stata stimata in circa 393 giorni.[1] Per mantenere l’accesso:
- hanno installato il backdoor su sistemi difficili da monitorare;
- hanno apportato modifiche al malware BRICKSTORM (ad esempio, utilizzando l’offuscamento tramite Garble) e talvolta hanno inserito una logica di avvio ritardato, garantendo che l’impianto rimanesse dormiente fino a dopo il completamento delle indagini iniziali di risposta agli incidenti;[2]
- hanno impiegato metodi di movimento laterale e furto di dati che generano telemetria di sicurezza minima o nulla.
La scoperta di BRICKSTORM sottolinea l’intensificarsi delle minacce di spionaggio informatico allineate agli stati-nazione, che utilizzano tecniche sempre più sofisticate per colpire infrastrutture critiche e dati sensibili.
Google e Mandiant hanno esortato le organizzazioni, in particolare quelle nei settori presi di mira, a:
- rivalutare il modello di minaccia per gli appliance – È fondamentale estendere la copertura di monitoraggio e sicurezza a dispositivi come hypervisor e appliance di rete che tradizionalmente non ospitano EDR;[3]
- eseguire attività di “Threat Hunting” – Cacciare in modo proattivo prove del malware BRICKSTORM e di altri backdoor che potrebbero risiedere su sistemi non monitorati. A tal fine, Mandiant ha rilasciato strumenti per aiutare le aziende a scansionare le proprie reti.[4]
Questo attacco serve da monito su come queste tipologie di minacce, anche dette APT, siano in grado di mantenere un accesso furtivo e duraturo per attività di spionaggio industriale e governativo, evidenziando la necessità di un approccio alla sicurezza più completo e attento.
[1] https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campai
[2] https://www.picussecurity.com/resource/blog/brickstorm-malware-unc5221-targets-tech-and-legal-sectors-in-the-united-states
[3] https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign
[4] https://socprime.com/it/blog/rilevamento-backdoor-brickstorm/
