Les agences américaines et canadiennes de cybersécurité ont averti que des acteurs liés à la Chine ont déployé une porte dérobée sophistiquée appelée BRICKSTORM pour maintenir un accès persistant aux environnements gouvernementaux et informatiques, y compris les instances VMware vSphere. L'avis conjoint de la NSA et de la CISA fournit des indicateurs de compromission, des directives de détection, et exhorte à appliquer des correctifs, chasser les artefacts et signaler les compromissions.

Les agences de cybersécurité américaines et canadiennes ont publié un avis conjoint décrivant BRICKSTORM, une porte dérobée furtive utilisée par des acteurs liés à la Chine pour établir une présence à long terme dans des environnements informatiques gouvernementaux et commerciaux. L’avis documente des techniques d’intrusion initiale, des mécanismes de persistance ciblant l’infrastructure VMware vSphere, et des actions post-compromission telles que la collecte d’identifiants, l’exfiltration de données et des outils susceptibles de permettre de futures perturbations ou sabotages. Les agences ont fourni des indicateurs de compromission détaillés et des étapes de détection visant la revue des journaux, la recherche d’artéfacts et l’analyse du comportement réseau. Les organisations sont invitées à appliquer les correctifs disponibles, à isoler les systèmes affectés et à signaler les incidents aux centres nationaux de cybersécurité afin de soutenir une réponse coordonnée et l’attribution. L’avis souligne le danger que représentent des plans de gestion de virtualisation compromis, qui peuvent exposer de nombreuses charges de travail hébergées et des identifiants. Il inclut également des mesures d’atténuation recommandées telles que l’authentification multifactorielle, les restrictions d’accès privilégié et une surveillance renforcée pour détecter les mouvements latéraux. L’avertissement présente BRICKSTORM comme une menace stratégique qui augmente le risque opérationnel pour les infrastructures critiques et les données gouvernementales sensibles, et il appelle à une remédiation rapide et au partage d’informations pour limiter les points d’ancrage persistants des adversaires.