中国のサイバースパイ行為に関与するアクターが、重要組織のネットワーク内部に長年にわたり潜伏し、高度なマルウェアでインフラに侵入して機密データを流出させていたと、政府機関および民間研究者が警告している。CISA、NSA、カナダ・サイバーセキュリティセンターによる共同の勧告によると、少なくとも8つの政府機関およびIT企業が、Linux、VMware、Windows環境をシームレスに横断して動作するバックドアツール「Brickstorm」の被害に遭っている。この脅威の規模について、CISAのNick Andersen氏は、実際の被害組織数はほぼ確実にこれより多いと指摘し、Brickstormを「極めて高度な」プラットフォームだと評している。これにより中国政府(PRC)のオペレーターは、ネットワーク内に数年単位で深く根を下ろし、破壊工作のための下地を静かに築くことが可能になるという。
CISAが調査したあるインシデントでは、攻撃者は2024年4月に内部ネットワークへのアクセスを獲得し、VMware vCenterサーバー上にBrickstormを展開、その足場を少なくとも9月初旬まで維持していた。この期間中、彼らはドメインコントローラーとADFSサーバーに侵入し、暗号鍵を窃取した。秋に初めてBrickstormを文書化したGoogle Threat Intelligenceは、完全な侵害が発生する前に、すべての組織が自らの環境を積極的にスキャンするよう促している。アナリストらは、すでに数十社の米国企業が影響を受けていると推定しており、攻撃者はツールセットの洗練を続けている。
Mandiantは、このキャンペーンを脅威グループUNC5221に帰属し、法律サービスやSaaSプロバイダーからテクノロジー企業に至るまで、幅広いセクターで侵害を観測している。研究者らは、エッジデバイスの侵害に続いてvCenter環境へのラテラルムーブメントが行われることが、このグループの特徴的な戦術となっていると指摘する。これにより、攻撃者は下流の被害者へとピボットすることが可能になる。別のレポートでCrowdStrikeは、Brickstormを少なくとも2022年から活動しているWarp Pandaグループと結び付けており、米国組織のVMware環境への侵入や、中国政府のために実施された偵察活動など、類似した攻撃ベクトルを説明している。
CrowdStrikeによると、Warp Pandaは複数のケースで、ESXiサーバーおよび仮想マシン上に、これまで知られていなかったGo言語ベースのインプラント「Junction」と「GuestConduit」を展開し、機密データの流出に向けた準備を行っていたという。侵害の一部はMicrosoft Azureにも及び、攻撃者はセッショントークンを奪取し、Brickstorm経由でトラフィックをトンネリングし、OneDrive、SharePoint、Exchangeから機密データをダウンロードした。さらに、新たなMFAデバイスを登録することにも成功し、クラウド環境内で秘匿された長期的な永続性を確保していた。
Palo Alto Networksの専門家も、こうした侵害の持続性と深さを裏付けている。Unit 42のアナリストは、中国のオペレーターが侵害ごとに固有のファイルと特注のバックドアを用いており、検知を極めて困難にしていると報告している。ネットワーク内での長期にわたるステルス性の高い存在により、被害の真の規模は見えにくくなり、攻撃者は足場が発見されるはるか前から大規模な作戦を計画することが可能になっている。
