Les agences américaines et canadiennes de cybersécurité alertent sur BRICKSTORM, un backdoor utilisé par des acteurs liés à l’État chinois pour maintenir un accès discret et durable aux environnements VMware. Une menace qui touche en priorité les infrastructures vCenter et ESXi.
Un accès persistant au cœur du vCenter
BRICKSTORM est un programme conçu pour s’installer directement dans les serveurs VMware vCenter, le point central de gestion de la virtualisation. Une fois en place, il permet aux attaquants d’accéder aux machines virtuelles, de récupérer certains éléments sensibles et même de créer des instances cachées.
Selon les agences, ce type de compromission « offre aux acteurs un contrôle étendu sur l’infrastructure virtuelle », ce qui permet de rester présent longtemps sans être repéré.
Une présence discrète et durable
Le malware a été pensé pour la furtivité. Il peut se relancer automatiquement s’il est interrompu et dissimule ses communications derrière des flux chiffrés difficiles à distinguer du trafic normal.
Le rapport technique indique que BRICKSTORM « se fond dans l’activité habituelle du serveur », ce qui complique son détection. Certaines variantes servent également de relais pour se déplacer ailleurs dans le réseau, ce qui ouvre la voie à d’autres compromissions.
Une progression méthodique depuis la DMZ
Dans l’un des cas étudiés par la CISA, les cyberacteurs ont d’abord pris pied sur un serveur situé en zone démilitarisée grâce à un web shell. À partir de là, ils ont utilisé des comptes légitimes pour remonter progressivement vers les systèmes internes : contrôleurs de domaine, serveur ADFS, puis serveur vCenter.
Ce n’est qu’après avoir atteint cette dernière étape qu’ils ont déployé BRICKSTORM, conservant leur accès pendant plus d’un an sans déclencher d’alerte.
Une menace également signalée par CrowdStrike
De son côté, l’éditeur CrowdStrike attire l’attention sur un groupe chinois baptisé WARP PANDA, qui aurait lui aussi recours à BRICKSTORM dans certaines de ses opérations. Selon le spécialiste, ce groupe s’intéresse tout particulièrement aux environnements VMware et aux infrastructures cloud, utilisant plusieurs outils pour y maintenir une présence prolongée.
Cette convergence confirme que BRICKSTORM s’inscrit désormais dans un ensemble d’outils de cyberespionnage plus large, mobilisé contre des cibles sensibles.
