Se ha observado que un grupo de ciberespionaje de China-nexus implementa una variante BSD de una puerta trasera conocida llamada BRICKSTORM, así como otras dos familias de malware con nombre en código PLENET (también conocido como GRIMBOLT) y AGENTPSD para apuntar a sistemas Linux.

Volexity ha atribuido la actividad a un grupo de amenazas que rastrea como Verdebambúque según dijo se superpone con grupos de piratería conocidos como Clay Typhoon (Microsoft), UNC5221 (Google) y Warp Panda (CrowdStrike).

La compañía de ciberseguridad dijo que descubrió la intrusión durante un compromiso de respuesta a incidentes en septiembre de 2025, cuando se supo que el adversario había comprometido el sistema Egnyte Storage Sync de una víctima anónima al explotar una falla de escalada de privilegios local para implementar BRICKSTORM. El problema se solucionó en Storage Sync versión 13.13lanzado en marzo de 2026.

«VerdantBamboo había accedido periódicamente al dispositivo a través de direcciones IP asignadas a través de la VPN SSL web de la organización víctima», dijeron los investigadores Damien Cash, Paul Rascagneres, Steven Adair y Tom Lancaster en un informe técnico publicado la semana pasada.

«El actor de amenazas utilizó las capacidades de proxy del malware implementadas en el sistema Storage Sync, junto con credenciales comprometidas, para acceder al entorno Microsoft 365 (M365) de la víctima».

Se evalúa que estos pasos se tomaron para integrarse con el tráfico de red legítimo y evadir las políticas de acceso condicional, y que el compromiso inicial ocurrió al menos 18 meses antes.

Después de la reparación inicial, se dice que VerdantBamboo realizó una devolución, violando la misma organización al usar credenciales administrativas robadas para conectarse al firewall y luego abusar de ese acceso para configurar el acceso VPN SSL web al dispositivo, conectarse a otros sistemas e implementar malware adicional en un dispositivo Synology Network Attached Storage (NAS).

Desde entonces, una investigación más profunda ha descubierto que el actor de la amenaza había comprometido de hecho el proveedor de servicios gestionados (MSP) de la organización víctima, infectando específicamente el firewall pfSense de su MSP con una variante BSD de BRICKSTORM casi al mismo tiempo que también se había violado el sistema Storage Sync de la víctima.

Se cree que la víctima se vio comprometida debido a la violación del MSP por parte del actor de la amenaza. Las dos familias de malware implementadas en el dispositivo NAS a través de SSH son las siguientes:

• PLENET (también conocido como GRIMBOLT), una puerta trasera multiplataforma desarrollada en .NET Core y una nueva versión de BRICKSTORM compilada utilizando compilación nativa anticipada (AOT). Admite shell interactivo, ejecución remota de comandos, manipulación de archivos y cambio de servidor de comando y control (C2).
• AGENTPSD, un caparazón inverso basado en Python que probablemente funcione como respaldo en caso de que el implante primario deje de funcionar

Vale la pena señalar que Google informó sobre el uso de PLENET en la naturaleza a principios de febrero en relación con ataques montados por un grupo de amenazas sospechoso del nexo con China denominado UNC6201 que aprovechó una vulnerabilidad en Dell RecoverPoint para máquinas virtuales (CVE-2026-22769, puntuación CVSS: 10.0) como día cero desde mediados de 2024.

«VerdantBamboo es un actor de amenazas altamente sofisticado que busca aprovechar una combinación de técnicas de vida de la tierra y la implementación de malware en sistemas que tradicionalmente no ejecutan o no pueden ejecutar software EDR», dijo Volexity.

«Este actor de amenazas parece tener un buen conocimiento de los dispositivos propietarios, lo que les permite implementar malware con mecanismos de persistencia personalizados. También parecen tener una disciplina de seguridad operativa destinada a aprovechar un número limitado de dominios y direcciones IP por víctima y configurar nombres de implantes personalizados y persistencia por dispositivo».