Agências de cibersegurança dos EUA e do Canadá alertaram que atores vinculados à China implantaram um backdoor sofisticado chamado BRICKSTORM para manter acesso persistente a ambientes governamentais e de TI, incluindo instâncias VMware vSphere. O aviso conjunto da NSA/CISA fornece indicadores de comprometimento, orientações de detecção e recomenda a aplicação de patches, a busca por artefatos e a notificação de comprometimentos.

Agências de cibersegurança dos EUA e do Canadá divulgaram um alerta conjunto descrevendo o BRICKSTORM, uma backdoor furtiva usada por atores ligados à China para estabelecer presença de longo prazo em ambientes de TI governamentais e comerciais. O alerta documenta técnicas de intrusão inicial, mecanismos de persistência visando infraestrutura VMware vSphere e ações pós-comprometimento, como coleta de credenciais, exfiltração de dados e ferramentas que poderiam viabilizar futuras interrupções ou sabotagem. As agências forneceram indicadores de comprometimento detalhados e passos de detecção focados em revisão de logs, caça a artefatos e análise de comportamento de rede. Recomenda-se que as organizações apliquem os patches disponíveis, isolem sistemas afetados e reportem incidentes aos centros nacionais de cibersegurança para apoiar resposta coordenada e atribuição. O alerta enfatiza o perigo de planos de gerenciamento de virtualização comprometidos, que podem expor muitas cargas de trabalho hospedadas e credenciais. Também inclui mitigações recomendadas, como autenticação multifator, restrições de acesso privilegiado e monitoramento aprimorado para movimento lateral. O aviso enquadra o BRICKSTORM como uma ameaça estratégica que eleva o risco operacional para infraestrutura crítica e dados governamentais sensíveis, e pede remediação rápida e compartilhamento de informações para limitar pontos de apoio persistentes do adversário.