Agências dos EUA, Canadá e NSA divulgaram indicadores de compromisso (IOCs) e regras de detecção para BRICKSTORM, um backdoor atribuído a atores estatais da RPC que tem sido usado para persistência em ambientes VMware vSphere.
Descoberta e escopo da divulgação
Em um comunicado conjunto publicado em 19 de dezembro de 2025, a CISA, a NSA e o Canadian Centre for Cyber Security atualizaram IOCs e assinaturas de detecção para o malware BRICKSTORM. O relatório acrescenta a análise de três amostras às oito previamente documentadas, totalizando 11 variantes examinadas.
Alvos e impacto observado
BRICKSTORM tem foco em organizações dos setores Government Services & Facilities e Information Technology, com atenção particular a servidores VMware vCenter e plataformas VMware ESXi. Em uma resposta a incidente, a CISA documentou acesso persistente a uma rede a partir de abril de 2024; os atacantes teriam carregado BRICKSTORM em um servidor vCenter, comprometido dois domain controllers e um servidor ADFS e exportado chaves criptográficas, mantendo acesso até pelo menos setembro de 2025.
Técnicas e capacidades do malware
O backdoor é entregue em formato ELF e foi desenvolvido em Go e, em variantes mais recentes, em Rust. Entre os recursos técnicos mencionados pelo advisório estão múltiplas camadas de criptografia (HTTPS, WebSockets, TLS aninhado), uso de DNS-over-HTTPS para ocultar comunicações, simulação de servidores web legítimos e funcionalidade de SOCKS proxy para movimento lateral. BRICKSTORM fornece shell interativo e capacidades de manipulação de arquivos — upload, download, criação e deleção — e pode facilitar exfiltração e expansão do comprometimento.
Ferramentas e artefatos liberados
As agências disponibilizaram IOCs em formato STIX e regras Sigma em YAML, além de YARA quando aplicável. A recomendação oficial é que organizações usem essas assinaturas para varredura e detecção proativa em seus ambientes, especialmente em infraestruturas que hospedam vCenter/ESXi.
Recomendações práticas
- Aplicar detecção baseada em IOCs: importar STIX/Sigma/YARA fornecidos e executar varreduras em servidores vCenter, ESXi e controladores de domínio.
- Monitorar comunicações anômalas: investir na inspeção de TLS, WebSockets e fluxos DoH que possam mascarar C2 (command & control).
- Revisar credenciais e chaves: após detecção, considerar rotação de chaves e credenciais comprometidas, dado o risco de exportação de chaves observado.
- Planejar resposta a incidente: seguir procedimentos de contenção, preservação de evidências e notificação às autoridades competentes (CISA/Cyber Centre).
Limitações e o que não foi divulgado
O advisório descreve técnicas e amostras, mas não divulga indicadores exaustivos de como a intrusão inicial ocorreu (vetor de entrada) em todos os casos analisados. Também não há menções públicas no documento a incidentes confirmados no Brasil ou impactos regulatórios locais (LGPD); a CISA recomenda que qualquer detecção seja reportada às autoridades apropriadas.
Implicações para operações e nuvem
Ambientes virtualizados corporativos e provedores de serviço que hospedam instâncias vCenter/ESXi devem priorizar varredura e monitoramento. A presença de variantes em Go e Rust indica evolução técnica do toolkit dos atores e reforça a necessidade de controles de segmentação, logging imutável e detecção baseada em telemetria de host e rede.
Conclusão
A divulgação conjunta sublinha a persistência e sofisticação da operação atribuída a atores estatais. Organizações com infraestrutura VMware precisam incorporar os IOCs e regras liberadas pela CISA/NSA/Cyber Centre em seus processos de detecção e resposta para reduzir janela de exposição.