Você pode até nunca ter ouvido falar do UNC5221, mas, se administra um SaaS, cuida do TI de um escritório de advocacia ou gerencia servidores em nuvem, ele já pode ter ouvido falar de você. Segundo relatório conjunto da Mandiant e do Google Threat Intelligence Group (GTIG), o grupo — ligado ao ecossistema de ameaças chinês — mantém acesso sigiloso em redes norte-americanas há mais de um ano usando um backdoor chamado BRICKSTORM.
O caso vai além de mais um “incidente de segurança”. O alvo não é apenas roubar dados pontuais, mas sim criar uma ponte estável para chegar a ambientes de clientes de provedores SaaS, monitorar e-mails estratégicos e, em última instância, acelerar o desenvolvimento de zero-days capazes de afetar todo o mercado. Entender como o BRICKSTORM opera ajuda a revelar falhas estruturais na forma como defendemos appliances sem cobertura de EDR — e por que isso deveria preocupar gestores de TI, desenvolvedores e criadores de conteúdo que dependem desses serviços.
UNC5221: por que SaaS, escritórios de advocacia e tech companies viraram alvo
De acordo com a investigação, o UNC5221 foca em quatro setores nos EUA: serviços jurídicos, provedores SaaS, BPOs e empresas de tecnologia. O motivo é duplo. Primeiro, esses ambientes concentram dados de terceiros — portanto, quem invade um provedor ganha acesso indireto a uma cadeia de clientes. Segundo, escritórios de advocacia e companhias de tecnologia lidam com informações sobre segurança nacional, comércio internacional e propriedade intelectual, valiosas para qualquer programa de espionagem estatal.
O ataque se vale de vulnerabilidades conhecidas, como os zero-days do Ivanti Connect Secure (CVE-2023-46805 e CVE-2024-21887), para a entrada inicial. A sobreposição parcial de TTPs (táticas, técnicas e procedimentos) com grupos como APT27/Silk Typhoon indica um possível compartilhamento de ferramentas dentro do ecossistema de ameaças chinês, ainda que o GTIG trate o UNC5221 como cluster separado.
BRICKSTORM: anatomia de um backdoor escrito em Go
O BRICKSTORM foi observado pela primeira vez em 2023 e, desde então, evoluiu. Desenvolvido em Go, ele possui funções de:
- virar servidor web no host comprometido;
- listar e alterar diretórios, além de fazer upload/download de arquivos;
- executar comandos de shell sob demanda;
- operar como proxy SOCKS para criar túneis até aplicações internas;
- comunicar-se via WebSockets com o servidor de comando e controle (C2).
O grupo instala o backdoor em appliances Linux e BSD — ambientes onde soluções EDR tradicionais raramente estão ativas. Amostras recentes trazem um “cronômetro” embutido: o malware só contata o C2 após uma data futura pré-definida, dificultando a correlação com o momento do comprometimento.
Lateralidade quase invisível: BRICKSTEAL e persistência em VMware
Depois da infecção inicial, o UNC5221 sobe de patamar:
Imagem: Internet
- Injeta o BRICKSTEAL, um filtro Java malicioso para Apache Tomcat, capturando credenciais do vCenter sem reiniciar o serviço — alteração 100% em memória.
- Com privilégios elevados, realiza clonagem de VMs Windows Server essenciais, como Domain Controllers e cofres de segredo.
- Usa credenciais válidas para movimentação lateral e modifica arquivos
init.d,rc.localou unidades systemd, garantindo que o BRICKSTORM renasça a cada reboot.
Segundo a Mandiant, a média de permanência indetectada é de 393 dias. Nesse período, os invasores vasculham caixas de e-mail de desenvolvedores, administradores e qualquer pessoa ligada a projetos de interesse econômico ou militar chinês.
Do Zero-Day ao Zero-Log: como o caso BRICKSTORM expõe pontos cegos de segurança
Mais do que um evento isolado, o BRICKSTORM ilustra o salto qualitativo nas campanhas de espionagem: invasores abandonaram o modelo “smash and grab” (invadir e roubar rápido) e investem em presença contínua e silenciosa. Ao escolher appliances que não rodam EDR, eles praticamente desaparecem do radar de logs corporativos.
Para equipes de TI, isso revela um gargalo: até que ponto sua estratégia de defesa cobre appliances de rede, hipervisores e storages, não apenas endpoints? Se você opera serviços em nuvem ou revende SaaS, a ameaça é dupla. Um backdoor na sua infraestrutura vira ponto de salto para dados dos clientes, transformando um incidente interno em crise de cadeia de suprimentos.
O fato de o grupo clonar VMs inteiras também antecipa outro debate: a virtualização simplifica DR (disaster recovery), mas, nas mãos erradas, entrega cópias completas de ambientes sensíveis. E, à medida que hardwares específicos (como appliances VPN) continuam fora do alcance das ferramentas de detecção, cresce a necessidade de varreduras dedicadas — como o script que o Google liberou para Linux e BSD — e de controles de acesso segmentados no próprio hipervisor.
Em síntese, o BRICKSTORM não é só mais uma sigla no mar de malwares. Ele ressalta a importância de fechar lacunas históricas na proteção de infraestrutura e de repensar a visibilidade de ambientes “fora do endpoint”. Enquanto isso não acontecer, campanhas de espionagem avançada continuarão transformando vulnerabilidades pontuais em passaportes de um ano para dentro das redes corporativas.
