Selon PolySwarm (rapport Threats and Vulnerabilities), la backdoor BRICKSTORM, attribuée au cluster de menace UNC5221 (nexus Chine), mène depuis mars 2025 une campagne d’espionnage contre des organisations américaines des secteurs juridique, SaaS, BPO et technologique.
L’opération met l’accent sur le vol de propriété intellectuelle et d’emails sensibles, avec une durée de présence moyenne de 393 jours. Le groupe cible des appliances réseau dépourvues d’EDR, exploite des vulnérabilités zero-day et emploie des techniques anti-forensiques. Il s’appuie sur les composants BRICKSTEAL (récolte d’identifiants) et SLAYSTYLE (web shell) ainsi que sur des identifiants compromis pour la mouvement latéral et l’exfiltration.
Sur le plan technique, BRICKSTORM est une porte dérobée cross-plateforme en Go visant des appliances Linux/BSD, dont VMware vCenter et les hôtes ESXi. Elle intègre un proxy SOCKS pour le tunneling et les communications C2, en s’appuyant sur des Cloudflare Workers, des applications Heroku et des services de DNS dynamique. Les variantes récentes utilisent l’obfuscation Garble et une bibliothèque wssoft personnalisée, certaines ajoutant des temporisateurs de délai pour prolonger la persistance.
Les modules associés incluent BRICKSTEAL, déployé comme filtre Java Servlet sur Apache Tomcat pour capturer des identifiants HTTP Basic, et SLAYSTYLE, un web shell JSP offrant des capacités d’exécution de commandes. Le groupe modifie des scripts de démarrage pour assurer la persistance, cible des coffres d’identifiants et des contrôleurs de domaine, clone des machines virtuelles pour extraire des données, et exfiltre des informations via des applications d’entreprise Microsoft Entra ID compromises avec des autorisations élevées d’accès aux mails.
TTPs clés observés:
- Exploitation de zero-day et ciblage d’appliances sans EDR 🧩
- Anti-forensics, persistance via scripts de démarrage
- Harvesting d’identifiants (BRICKSTEAL) et web shell JSP (SLAYSTYLE)
- Proxy SOCKS et C2 via services cloud (Cloudflare Workers, Heroku, DNS dynamique)
- Mouvement latéral, clonage de VM, exfiltration via Microsoft Entra ID avec accès mail étendu
Il s’agit d’une analyse de menace détaillant un outillage d’espionnage ciblé, son mode opératoire, et son infrastructure C2 afin d’éclairer la compréhension de la campagne en cours.
🔗 Source originale : https://blog.polyswarm.io/brickstorm-targets-u.s.-tech-and-legal-sectors-with-stealthy-espionage