¿Para qué irrumpir en un servidor si puedes permanecer oculto en el cortafuegos? Hackers chinos encuentran el escondite perfecto en redes empresariales

La agrupación china VerdantBamboo logró permanecer de forma encubierta en las redes de la víctima durante casi año y medio, utilizando dispositivos que muchas empresas suelen considerar secundarios. En lugar de estaciones de trabajo y servidores, los atacantes apostaron por almacenamientos en red, cortafuegos y máquinas virtuales especializadas, en las que rara vez se instalan medidas de protección y supervisión.

Los especialistas de Volexity descubrieron el ataque después de que notaron conexiones sospechosas con la máquina virtual Egnyte Storage Sync. El sistema, diseñado para sincronizar archivos locales con la nube, de repente empezó a conectarse no con la infraestructura de Egnyte, sino con un dominio controlado por los atacantes. En un análisis adicional, los especialistas identificaron el programa malicioso BRICKSTORM, vinculado a la agrupación VerdantBamboo, también conocida como WARP PANDA y UNC5221.

La investigación mostró que los atacantes obtuvieron acceso al dispositivo mediante credenciales válidas y usaron capacidades integradas del sistema para elevar privilegios. Una mala configuración permitía escribir archivos con permisos de administrador prácticamente en cualquier parte del sistema de archivos. Más tarde, el fabricante Egnyte solucionó el problema en la versión Storage Sync v13.13.

Tras controlar el dispositivo, los atacantes lo utilizaron como nodo intermedio para acceder al entorno en la nube Microsoft 365. Este enfoque ayudó a enmascarar la actividad como tráfico legítimo de la empresa y a eludir las políticas de acceso condicional que, en condiciones normales, deberían haber bloqueado las conexiones sospechosas.

Durante la investigación se determinó que la compromisión afectó no solo a la organización, sino también a su proveedor de servicios gestionados. En el cortafuegos pfSense, los especialistas encontraron una variante de BRICKSTORM para FreeBSD. Las huellas de VerdantBamboo en el dispositivo se remontaban aproximadamente a 18 meses atrás. Volexity considera que fue a través del compromiso del proveedor que los atacantes obtuvieron acceso a las credenciales y a la infraestructura del cliente.

Incluso después de que se eliminaran los componentes maliciosos, el grupo logró regresar a la red de la víctima. Usando credenciales administrativas robadas, los atacantes se conectaron al cortafuegos de la organización a través de la interfaz de gestión expuesta a Internet. Luego configuraron su propio canal de acceso remoto y volvieron a entrar en la red. El siguiente objetivo fue el almacenamiento en red Synology, en el que se detectó el programa malicioso hasta entonces desconocido PLENET.

Además de BRICKSTORM, los especialistas identificaron dos familias de malware que no se habían descrito públicamente antes. La primera recibió el nombre PLENET. El programa está escrito en la plataforma .NET y proporciona a los atacantes acceso remoto, ejecución de comandos y gestión de archivos. La segunda herramienta, AGENTPSD, es un intérprete de comandos inverso sencillo en Python. Según los especialistas, se preparó como una opción de reserva en caso de pérdida de acceso a través de los canales principales de control.

Llamó la atención la selección de objetivos dentro de la red. VerdantBamboo prefería dispositivos en los que normalmente no hay sistemas de detección de amenazas. Los cortafuegos, las máquinas virtuales especializadas y los almacenamientos en red permitían al grupo mantener presencia durante meses sin llamar prácticamente la atención de los equipos de seguridad.

Según Volexity, este enfoque fue la clave del éxito de la operación. En lugar de ataques ruidosos contra estaciones de trabajo, los atacantes se asentaban en dispositivos periféricos de la infraestructura y los utilizaban como plataformas ocultas para acceder posteriormente a los servicios corporativos y a los datos.