CISA alerta para ataques chineses com malware “BrickStorm” visando servidores VMware

A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) emitiu um alerta urgente sobre ataques conduzidos por hackers chineses contra servidores VMware vSphere, utilizando o malware avançado conhecido como BrickStorm.

A operação, altamente sofisticada, envolve o sequestro de servidores para criação de máquinas virtuais clandestinas e roubo de snapshots de ambientes corporativos, possibilitando furtos de credenciais e acesso prolongado a redes comprometidas.

O alerta foi divulgado em conjunto com a NSA e o Centro de Cibersegurança do Canadá, após a análise de oito amostras do BrickStorm encontradas em sistemas de vítimas. Segundo o relatório, os invasores têm como alvo servidores VMware para operar virtualmente “debaixo do radar”, escondendo VMs fraudulentas e clonando snapshots para extrair dados sensíveis.

O BrickStorm emprega uma verdadeira “blindagem digital”: múltiplas camadas de criptografia (HTTPS, WebSockets e TLS aninhado), túnel SOCKS para movimentação lateral, e até DNS-over-HTTPS (DoH) para mascarar comunicações. Para garantir persistência, o malware inclui um mecanismo de autorreparo que reinstala ou reinicia o componente caso haja qualquer tentativa de interrupção.

Durante uma das investigações, a CISA identificou que hackers chineses comprometeram um servidor exposto na DMZ de uma organização em abril de 2024. A partir dali, moveram-se para o VMware vCenter e implantaram o BrickStorm. O ataque evoluiu ainda mais: dois controladores de domínio foram violados, e o servidor de ADFS teve chaves criptográficas exportadas. Os invasores permaneceram dentro da rede por mais de um ano, de abril de 2024 a setembro de 2025.

Com o domínio do ambiente, os hackers capturaram bancos de dados do Active Directory, realizaram backups completos dos sistemas e roubaram credenciais legítimas e outros dados confidenciais.

Para detectar e conter o BrickStorm, a CISA orienta equipes de defesa especialmente em infraestruturas críticas e órgãos governamentais a utilizar regras YARA e Sigma desenvolvidas pela agência, bloquear provedores não autorizados de DoH, revisar dispositivos de borda, e reforçar a segmentação entre a DMZ e a rede interna.

No mesmo dia do alerta, a CrowdStrike divulgou que ataques envolvendo BrickStorm contra ambientes VMware vCenter em empresas de tecnologia, manufatura e advocacia nos EUA, ao longo de 2025, estão ligados ao grupo hacker chinês Warp Panda. A empresa também identificou o uso de novos malware implants, como Junction e GuestConduit, em hosts VMware ESXi.

A divulgação ocorre na esteira de relatórios publicados pelo Google Threat Intelligence Group e pela Mandiant, que inicialmente documentaram o BrickStorm em 2024 e associaram sua atividade ao cluster UNC5221 um grupo conhecido por explorar falhas zero-day da Ivanti e por utilizar malwares customizados como Spawnant e Zipline em ataques a agências governamentais e empresas do setor tecnológico.

A sofisticação do BrickStorm, aliada à persistência prolongada observada nas redes vítimas, reforça as preocupações de órgãos internacionais sobre o uso crescente de técnicas avançadas por hackers vinculados à China para comprometer infraestruturas sensíveis.

Via - BC