As empresas podem descobrir traços de uma campanha de hackers ligada a chinês à espreita em suas redes pelo menos nos próximos dois anos, avisa o Google.
Na quarta -feira, grupo de inteligência de ameaças do Google relatado que está rastreando um malware de backdoor conhecido como Brickstorm, que tem sido usado por hackers para manter o acesso a organizações e empresas nos EUA por uma média de 393 dias. O braço de consultoria de segurança cibernética do Google, Mandiant, responde a essas invasões desde março de 2025.
Os ataques têm como alvo uma variedade de indústrias, com um foco specific em serviços jurídicos, fornecedores de software program como serviço (SaaS), terceirizadores de processos de negócios (BPOs) e empresas de tecnologia. As evidências das investigações do Google sugerem que grupos legais são direcionados para informações relacionadas à segurança nacional dos EUA e ao comércio internacional. Os provedores de SaaS são usados como uma porta de entrada para acessar seus clientes. E as empresas de tecnologia têm como objetivo analisar a propriedade intelectual, incluindo o código -fonte, o que pode ajudar a identificar outras lacunas de segurança.
“O valor dessas metas se estende além das missões de espionagem típicas, potencialmente fornecendo dados para alimentar o desenvolvimento de zero dias e estabelecendo pontos de articulação para acesso mais amplo a vítimas a jusante”, observa o relatório. Uma vulnerabilidade de dia zero refere-se a uma falha de segurança em software program ou {hardware} desconhecido para seus desenvolvedores, deixando “zero dias” para corrigi-lo antes que os invasores possam explorá-lo.
A atividade é atribuída principalmente a um grupo identificado pelo Google como UNC5221, juntamente com outros grupos relacionados à China intimamente relacionados.
O relatório diz que os hackers podem permanecer não detectados por longos períodos porque implantam Brickstorm em sistemas que não podem executar a detecção e resposta de terminais tradicionais (EDR) ou software program antivírus usado em dispositivos como computadores e smartphones.
Em vez disso, eles têm como alvo aparelhos de rede como roteadores, firewalls, gateways de segurança de electronic mail. Eles também têm como alvo gerentes e hosts de máquinas virtuais. Segundo o relatório, o UNC5221 tem como alvo consistentemente os hosts VMware vCenter e ESXi.
Para ajudar as organizações a detectar o malware, a Mandiant lançou um scanner gratuito que procura atividades de tempestade de tijolos. Funciona “pesquisando uma combinação de cordas e padrões hexadecimais exclusivos do backdoor”, disse o Google.
O diretor de tecnologia da Mandiant Consulting Charles Carmakal disse O registro que ele prevê que vamos ouvir sobre essa ameaça cibernética por um longo tempo.
“À medida que mais empresas examinam seus sistemas, antecipamos que ouviremos sobre esta campanha pelos próximos um a dois anos”, disse Carmakal. “Sem dúvida, as empresas usarão essa ferramenta e encontrarão compromissos ativos ou históricos”.
Carmakal também contou Mergulho de segurança cibernética Isso durante esse período de dois anos, “coisas novas serão divulgadas” sobre os ataques, à medida que mais vítimas divulgam violações.
