De Chinese spionagegroep UNC5221, ook bekend als VerdantBamboo, heeft nieuwe malware ingezet om langdurig toegang te behouden tot gehackte netwerken, waaronder Microsoft 365-omgevingen. De groep gebruikte de Brickstorm-backdoor en eerder onbekende malwarevarianten genaamd Plenet en AgentPSD. Uit onderzoek bleek dat de aanvallers minstens 18 maanden onopgemerkt toegang hadden tot het netwerk van het slachtoffer en ook de managed services provider (MSP) van de organisatie hadden gecompromitteerd.

UNC5221 is sinds 2023 actief met aanvallen die zero-day kwetsbaarheden in edge-apparaten exploiteren. De Brickstorm-backdoor, omschreven als "geavanceerde malware-implantaat", werd in eerste varianten in Golang geschreven en later in Rust. Google rapporteerde in april 2024 en september 2025 activiteiten van UNC5221 met deze backdoor, gericht op juridische diensten, SaaS-leveranciers, business process outsourcers en technologiebedrijven. Ook CISA waarschuwde voor het gebruik van Brickstorm door Chinese hackers tegen VMware vSphere-servers, terwijl Google recent meldde dat UNC6201 het gebruikte tegen Dell RecoverPoint for Virtual Machines.

Onderzoekers van Volexity ontdekten dat VerdantBamboo een Egnyte Storage Sync-systeem had gecompromitteerd en via de web SSL VPN van het slachtoffer toegang kreeg tot de Microsoft 365-omgeving. Dit gebeurde met behulp van Brickstorm en gestolen credentials, waarbij de aanvallers zich vermomden als legitiem netwerkverkeer om detectie en blokkades door Conditional Access policies te omzeilen, aldus de onderzoekers. Na de eerste ontdekking bleek dat de hackers minstens 18 maanden actief waren voordat ze werden opgemerkt. Na de eerste opschoning werd de organisatie opnieuw gehackt, waarbij de aanvallers via gestolen credentials SSL VPN-toegang op de firewall activeerden en extra malware op een Synology NAS installeerden.

Tijdens het onderzoek bij de MSP werd vastgesteld dat ook de pfSense-firewall van de provider was geïnfecteerd met een BSD-variant van Brickstorm, vermoedelijk al minstens 18 maanden eerder. Volexity vermoedt met middelmatige zekerheid dat de aanvallers via de MSP het netwerk van het slachtoffer binnendrongen. Brickstorm werd vervolgens op het Egnyte Storage Sync-apparaat en een oud Linux GroupWise e-mailarchiefserver ingezet.

Na het herwinnen van toegang installeerden de aanvallers de custom malware Plenet op een Synology NAS. Plenet, ook bekend als "Grimbolt" door Google, is een cross-platform .NET-backdoor die interactieve shelltoegang, remote command execution, bestandsmanipulatie en het wisselen van command-and-control (C2) servers ondersteunt. Plenet gebruikt het WebSocket-protocol en een multiplexingbibliotheek, vergelijkbaar met Brickstorm. Daarnaast werd AgentPSD ingezet, een eenvoudige Python-gebaseerde reverse shell die vermoedelijk als fallback persistence diende als andere malware niet meer werkte. AgentPSD was geconfigureerd om verbinding te maken met een ander domein dan Brickstorm, maar werd nooit actief gebruikt omdat Brickstorm bleef draaien.