Thought Leadership
Die Hackergruppe VerdantBamboo nutzt eine BSD-Variante der BRICKSTORM-Malware sowie die Schadprogramme PLENET und AGENTPSD zur Linux-Spionage.
Die Cyberspionage-Gruppe VerdantBamboo, die staatlichen Akteuren aus China zugeordnet wird, attackiert gezielt Linux-basierte Netzwergeräte und Speicherlösungen. IT-Sicherheitsanalysten von Volexity dokumentierten die Aktivitäten, wobei das Cluster Überschneidungen zu den bekannten Akteuren Clay Typhoon, UNC5221 und Warp Panda aufweist. Die Kompromittierung wurde im September 2025 während einer Vorfallreaktion entdeckt, wobei der Erstzugriff bereits mindestens 18 Monate vor der Entdeckung stattfand. Die Angreifer nutzten eine Schwachstelle zur lokalen Rechteausweitung auf einem Egnyte Storage Sync-System des betroffenen Unternehmens aus, um die Hintertür BRICKSTORM zu platzieren. Diese Schwachstelle schloss der Hersteller im März 2026 mit der Softwareversion 13.13.
In ihrem technischen Untersuchungsbericht hielten die Forscher Damien Cash, Paul Rascagneres, Steven Adair und Tom Lancaster fest: „Die Appliance wurde von VerdantBamboo regelmäßig über IP-Adressen aufgerufen, die über das Web-SSL-VPN der Opferorganisation zugewiesen wurden.“ Die Angreifer missbrauchten die Proxy-Funktionen der Malware auf dem Storage-System in Kombination mit kompromittierten Zugangsdaten, um unbefugten Zugriff auf die Microsoft 365-Umgebung des Opfers zu erlangen. Durch dieses Vorgehen tarnten die Akteure ihre Aktivitäten als legitimen Netzwerkverkehr und umgingen die Sicherheitsrichtlinien für bedingten Zugriff.
Infektion von Firewall und Netzwerkspeichern zur Linux-Spionage
Nach den ersten Eindämmungs- und Bereinigungsmaßnahmen gelang VerdantBamboo eine erneute Infiltration desselben Netzwerks. Hierzu verwendeten die Akteure gestohlene administrative Zugangsdaten, um sich direkt mit der Firewall zu verbinden. Über diesen Zugriff konfigurierten sie einen dauerhaften Web-SSL-VPN-Zugang auf dem Gerät, stellten Verbindungen zu weiteren internen Systemen her und schleusten zusätzliche Schadsoftware auf ein Synology NAS-Speichersystem ein.
Die tiefergehende Untersuchung ergab zudem, dass die Angreifer im selben Zeitraum den Managed Services Provider des Opfers vollständig kompromittiert hatten. Die pfSense-Firewall des Dienstleisters wurde mit einer spezifischen, FreeBSD-kompatiblen Variante der BRICKSTORM-Malware infiziert. Die Analysten gehen davon aus, dass die Erstinfektion des eigentlichen Opfers über diesen infiltrierten Dienstleister realisiert wurde.
Merkmale der eingesetzten Schadsoftware-Familien
Die Platzierung der Malware auf dem Netzwerkspeicher erfolgte ferngesteuert über das SSH-Protokoll. Dabei identifizierten die Forensiker zwei eigenständige Schadsoftware-Familien namens PLENET und AGENTPSD. PLENET, auch unter dem Namen GRIMBOLT bekannt, ist eine plattformübergreifende Hintertür, die in .NET Core entwickelt und mittels nativer Ahead-of-Time-Kompilierung umgesetzt wurde. Das Tool stellt eine modernisierte Variante von BRICKSTORM dar und unterstützt interaktive Shells, Remote-Befehlsausführungen, Dateimanipulationen sowie den dynamischen Wechsel von Befehls- und Kontrollservern.
AGENTPSD basiert auf Python und fungiert als Reverse-Shell, die primär als Ausweichmechanismus dient, falls das Haupt-Implantat ausfällt. Die Verwendung von PLENET wurde bereits im Februar 2026 von Google im Rahmen von Angriffen der Gruppe UNC6201 dokumentiert, die eine kritische Schwachstelle in Dell RecoverPoint for Virtual Machines seit Mitte 2024 als Zero-Day-Lücke ausgenutzt hatte. VerdantBamboo agiert laut den Berichten mit hoher operativer Disziplin, nutzt maßgeschneiderte Persistenzmechanismen auf Geräten ohne Endpoint-Detection-and-Response-Software und beschränkt die Anzahl der genutzten Domains und IP-Adressen pro Opfer bewusst.
