BRICKSTORM

BRICKSTORM : une backdoor attribuée à UNC5221 cible des organisations américaines via appliances réseau et zero-days

Selon PolySwarm (rapport Threats and Vulnerabilities), la backdoor BRICKSTORM, attribuée au cluster de menace UNC5221 (nexus Chine), mène depuis mars 2025 une campagne d’espionnage contre des organisations américaines des secteurs juridique, SaaS, BPO et technologique. L’opération met l’accent sur le vol de propriété intellectuelle et d’emails sensibles, avec une durée de présence moyenne de 393 jours. Le groupe cible des appliances réseau dépourvues d’EDR, exploite des vulnérabilités zero-day et emploie des techniques anti-forensiques. Il s’appuie sur les composants BRICKSTEAL (récolte d’identifiants) et SLAYSTYLE (web shell) ainsi que sur des identifiants compromis pour la mouvement latéral et l’exfiltration. ...

BRICKSTORM d’UNC5221 sur appareils périmétriques, infiltration IT DPRK, et arrestation après l’attaque Collins Aerospace

Selon SentinelOne (récapitulatif « The Good, the Bad and the Ugly » semaine 39), plusieurs opérations récentes illustrent des tactiques avancées d’acteurs menaçants contre des infrastructures et des entreprises occidentales. • Opération Collins Aerospace: les forces de l’ordre britanniques ont procédé à une arrestation rapide après l’attaque ayant perturbé plusieurs aéroports européens. L’incident souligne la capacité de nuisance sur la chaîne aéroportuaire et la réactivité judiciaire au Royaume‑Uni. • Opérations liées à la DPRK: des groupes nord‑coréens coordonnent le vol d’identités de développeurs pour des arnaques au recrutement et l’infiltration d’équipes IT via des travailleurs proxy. Des équipes organisées opèrent en quarts de 10–16 heures avec des scripts préparés pour conduire ces campagnes de recrutement frauduleux. ...

BRICKSTORM : une backdoor cross‑plateforme attribuée à l’APT UNC5221 cible des organisations US

Selon Picus Security (blog), dans la catégorie Threats and Vulnerabilities, BRICKSTORM est une backdoor sophistiquée attribuée au groupe APT UNC5221 (nexus Chine) visant des services juridiques, fournisseurs SaaS et entreprises technologiques aux États‑Unis. BRICKSTORM est un malware en Go avec variantes Linux, Windows et BSD, offrant de l’exécution de commandes via HTTP et du tunneling proxy SOCKS pour un accès à long terme. Les opérateurs maintiennent une persistance durable avec un temps de présence moyen de près d’un an et recourent à des techniques d’évasion avancées (binaries Go obfusqués via Garble, logique de démarrage différé). ...