In sintesi
Una sofisticata campagna di spionaggio informatico condotta dal gruppo APT cinese tracciato come UNC5221, noto anche come VerdantBamboo, ha compromesso ambienti Microsoft 365 e provider di servizi gestiti (MSP), mantenendo l’accesso alle reti vittime per periodi superiori a 18 mesi. L’indagine ha rivelato l’uso di nuove varianti di malware come Brickstorm, inizialmente rilevato nel marzo 2025, e backdoor inedite quali Plenet e AgentPSD. Questo attore di minaccia è stato implicato in attacchi che sfruttano vulnerabilità zero-day in dispositivi edge fin dal 2023, dimostrando una notevole capacità di persistenza e occultamento, arrivando a violare una stessa organizzazione due volte, persino dopo i primi sforzi di bonifica. — Fonte: BleepingComputer
Il gruppo UNC5221 ha dimostrato una notevole capacità operativa, accedendo alla rete della vittima almeno 18 mesi prima della rilevazione e compromettendo anche l’MSP dell’organizzazione target. Il malware Brickstorm, descritto come un “impianto malware avanzato” e sviluppato inizialmente in Golang e poi in Rust, è stato utilizzato in vari obiettivi negli Stati Uniti per oltre un anno senza essere rilevato. Google ha documentato l’attività di UNC5221 con Brickstorm già nell’aprile 2024 e settembre 2025, segnalando attacchi contro studi legali, fornitori SaaS, outsourcer di processi aziendali e aziende tecnologiche. La CISA aveva avvertito sull’uso di Brickstorm contro server VMware vSphere. Successivamente, sono stati impiegati Plenet, una backdoor multi-piattaforma basata su .NET per accesso interattivo alla shell e manipolazione di file, e AgentPSD, una reverse shell basata su Python utilizzata come meccanismo di persistenza di fallback. Gli attaccanti hanno utilizzato funzionalità di proxying di Brickstorm e credenziali rubate per accedere a Microsoft 365 tramite VPN SSL, anche dopo una prima bonifica, e hanno installato ulteriore malware su dispositivi Synology NAS e firewall pfSense. La sofisticazione include tecniche per mescolarsi con il traffico di rete legittimo e eludere le policy di Conditional Access. — Fonte: BleepingComputer
Questa catena di eventi solleva serie preoccupazioni per le organizzazioni che trattano dati personali e per la loro conformità normativa. La persistenza di oltre 18 mesi e la doppia violazione indicano una falla critica nei sistemi di rilevamento e risposta agli incidenti, elemento chiave per la conformità al GDPR, che impone la notifica di un data breach entro 72 ore dalla scoperta. La compromissione di ambienti come Microsoft 365, dove sono spesso archiviati dati personali sensibili, rappresenta un rischio elevato di violazione della riservatezza e dell’integrità dei dati. Inoltre, il coinvolgimento di MSP e la capacità degli attaccanti di pivotare da questi fornitori mettono in luce la criticità della supply chain security, un pilastro fondamentale della direttiva NIS2. Le aziende devono garantire che i propri fornitori di servizi abbiano misure di sicurezza adeguate. Dal punto di vista della ISO 27001, l’incidente evidenzia lacune nei controlli di accesso, nel monitoraggio, nella gestione delle vulnerabilità e nella risposta agli incidenti, sottolineando la necessità di un miglioramento continuo del Sistema di Gestione della Sicurezza delle Informazioni. — Fonte: BleepingComputer
Alla luce di questi sviluppi, è imperativo che le organizzazioni adottino un approccio proattivo alla sicurezza. Si consiglia vivamente di implementare e testare regolarmente i sistemi di rilevamento e risposta, come SIEM ed EDR, attraverso simulazioni di attacchi (Breach and Attack Simulation). È fondamentale rafforzare la sicurezza della catena di fornitura, valutando attentamente le misure di sicurezza degli MSP e