Agências dos EUA e do Canadá divulgaram um advisory conjunto descrevendo BRICKSTORM, um backdoor sofisticado que visa integrar-se profundamente a infraestruturas virtualizadas e ambientes Windows, permitindo persistência de longo prazo e controle remoto.
Descoberta e panorama
O alerta conjunto publicado por CISA, NSA e o Canadian Centre for Cyber Security detalha a operação BRICKSTORM, atribuída a atores apoiados pelo Estado (PRC) no relatório. As agências descrevem o malware como um backdoor escrito em Go, projetado para comprometer servidores VMware vCenter e hosts ESXi, além de ambientes Windows, com capacidades de manutenção de acesso por meses.
Abordagem técnica e vetor de exploração
BRICKSTORM utiliza uma cadeia de comando e controlo (C2) resistente: resolução de domínios via DNS-over-HTTPS (DoH) contra resolvers públicos (por exemplo, Cloudflare e Google), conexão inicial em HTTPS que é atualizada para WebSocket encapsulado em camadas adicionais de TLS, e multiplexação de fluxos (bibliotecas como smux ou Yamux são citadas no advisory) para transportar múltiplos canais — shells interativos, transferência de ficheiros, etc.
O malware implementa mecanismos de tunneled proxy através de SOCKS para TCP, UDP e até ICMP, e variantes específicas exploram interfaces de Virtual Socket (VSOCK) para comunicação inter-VM, permitindo exfiltração e movimentos laterais sem passar pela monitorização de rede tradicional.
Escopo observado e táticas usadas
O advisory relata um incidente em que os atacantes mantiveram acesso a uma rede vítima entre abril de 2024 e pelo menos setembro de 2025. No caso analisado, a intrusão inicial comprometeu um servidor web no DMZ; em seguida os operadores pivotaram para controladores de domínio internos e para um servidor Active Directory Federation Services (ADFS).
Com acesso ao vCenter, os atacantes foram capazes de roubar snapshots de máquinas virtuais para extrair credenciais e criar VMs “rogue” que operavam paralelamente às cargas legítimas. O relatório também descreve a exportação de chaves criptográficas do servidor ADFS, um dado crítico que poderia permitir falsificação de tokens de autenticação.
Persistência e detecção
BRICKSTORM inclui rotinas de autocorreção — um "self-watcher" que reinstala componentes caso processos sejam terminados — e modifica ficheiros de inicialização do sistema (por exemplo, /etc/sysconfig/init) para sobreviver a reinicializações. Por isso, as agências alertam que varreduras baseadas apenas em processos em execução podem falhar; análises baseadas em disco são recomendadas para identificar mecanismos estáticos de persistência.
Mitigações e recomendações
- Priorizar atualização dos servidores VMware vSphere para as versões mais recentes suportadas.
- Restringir conectividade de dispositivos de borda a recursos internos e segmentar redes críticas.
- Bloquear tráfego DoH não autorizado para reduzir capacidade de resolução de domínios maliciosos.
- Aumentar monitorização e auditoria de contas de serviço, que foram amplamente abusadas nos incidentes relatados.
- Combinar análise de memória/processos com análise baseada em disco para encontrar artefactos de persistência.
Limites das informações
O advisory descreve capacidades e um caso concreto de comprometimento, mas não detalha todas as IOCs públicas nem versões específicas de produto vulneráveis; as agências enfatizam a investigação proativa por parte de administradores de vSphere/ESXi e equipes de resposta a incidentes.
O que isso significa para a operação
Organizações que usam virtualização VMware em setores governamentais ou críticos devem tratar o alerta como prioritário: a combinação de acesso a vCenter e exploração de ADFS aumenta significativamente o risco de persistência invisível e de usurpação de identidades. As recomendações das agências devem ser implementadas sem demora, e equipes de IR precisam verificar artefactos em disco além do telemetria tradicional.