Chinese APT deploys new malware to keep access to hacked networks

1 minute de lecture

Mis à jour : June 05, 2026

Menaces persistantes : Les tactiques du groupe chinois UNC5221

Le groupe d’espionnage chinois UNC5221 (également nommé VerdantBamboo) mène des campagnes sophistiquées en compromettant durablement des réseaux d’entreprise, parfois via des fournisseurs de services gérés (MSP). Les attaquants exploitent des vulnérabilités « zero-day » sur des équipements de périphérie pour maintenir un accès discret pendant plus de 18 mois, échappant aux politiques d’accès conditionnel de Microsoft 365 en simulant un trafic légitime.

Points clés :

Persistance multi-plateforme : L’usage massif de Brickstorm (implants en Golang, Rust et BSD) permet de cibler des systèmes ne supportant pas les solutions EDR (NAS Synology, pare-feu pfSense, serveurs de stockage).
Opérations furtives : Le groupe a démontré une capacité à se réintroduire dans un réseau après une remédiation, prouvant une persistance sur plusieurs points d’entrée (VPN SSL, périphériques réseau).
Nouveaux outils : Outre Brickstorm, deux malwares ont été identifiés : Plenet (backdoor .NET multiplateforme) et AgentPSD (shell inverse en Python utilisé comme mécanisme de secours).

Vulnérabilités :

Bien que les CVE spécifiques ne soient pas détaillées dans le rapport, l’article souligne une exploitation récurrente de vulnérabilités « zero-day » sur des équipements de périphérie (Edge devices), notamment des pare-feu, des serveurs VMware vSphere et des appliances Dell RecoverPoint.

Recommandations :

Surveillance des équipements non-EDR : Porter une attention particulière aux périphériques réseau, NAS et serveurs isolés qui échappent aux outils de détection classiques.
Audit des accès MSP : Évaluer et restreindre strictement les accès distants accordés aux prestataires informatiques, souvent utilisés comme vecteurs de mouvement latéral.
Réponse aux incidents : Ne pas se limiter à une réinitialisation des mots de passe ; auditer l’ensemble de la configuration VPN SSL et vérifier la présence de backdoors sur les pare-feu après une compromission.
Analyse des IOC : Utiliser les indicateurs de compromission publiés sur le référentiel GitHub de Volexity pour traquer la présence de Brickstorm au sein des infrastructures.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Chinese APT deploys new malware to keep access to hacked networks

Menaces persistantes : Les tactiques du groupe chinois UNC5221

Partager sur

Vous pourriez aimer

What 2026 DBIR Confirms: Attacks Are Living in the Browser

L’insécurité au cœur du navigateur : Analyse du DBIR 2026

The Evil MSI Background is Back!, (Fri, Jun 5th)

Résurgence de la technique du “MSI Background” : Analyse d’une nouvelle campagne de malwares

PCPJack Hijacks 230 AWS, Google Cloud, and Azure Servers for Covert SMTP Relay Network

PCPJack : Un réseau de relais SMTP clandestin basé sur des serveurs cloud compromis

Over 900 US gas station tank gauge systems exposed to attacks

Vulnérabilité critique des systèmes de contrôle de réservoirs aux États-Unis