Agencias de ciberseguridad de EE. UU. y Canadá advirtieron que actores vinculados a China desplegaron una puerta trasera sofisticada llamada BRICKSTORM para mantener acceso persistente a entornos gubernamentales y de TI, incluidas instancias de VMware vSphere. La alerta conjunta de la NSA/CISA proporciona indicadores de compromiso, directrices de detección y exhorta a parchear, buscar artefactos y reportar compromisos.

Las agencias cibernéticas de EE. UU. y Canadá publicaron un aviso conjunto que describe BRICKSTORM, una puerta trasera sigilosa utilizada por actores vinculados a China para establecer una presencia a largo plazo en entornos informáticos gubernamentales y comerciales. El aviso documenta técnicas de intrusión inicial, mecanismos de persistencia dirigidos a la infraestructura VMware vSphere y acciones post-compromiso como el robo de credenciales, la exfiltración de datos y herramientas que podrían posibilitar futuras interrupciones o sabotajes. Las agencias proporcionaron indicadores de compromiso detallados y pasos de detección orientados a la revisión de registros, la búsqueda de artefactos y el análisis del comportamiento de la red. Se insta a las organizaciones a aplicar los parches disponibles, aislar los sistemas afectados y reportar incidentes a los centros nacionales de ciberseguridad para apoyar una respuesta coordinada y la atribución. El aviso enfatiza el peligro de los planos de gestión de virtualización comprometidos que pueden exponer muchas cargas de trabajo alojadas y credenciales. También incluye mitigaciones recomendadas como la autenticación multifactor, restricciones de acceso privilegiado y una supervisión reforzada para el movimiento lateral. La advertencia enmarca a BRICKSTORM como una amenaza estratégica que eleva el riesgo operativo para la infraestructura crítica y los datos gubernamentales sensibles, y pide una remediación rápida y el intercambio de información para limitar la presencia persistente del adversario.