Pesquisadores da Google Threat Intelligence Group (GTIG), em colaboração com a Mandiant, identificaram uma sofisticada campanha de espionagem digital conduzida por um grupo ainda não atribuído, com foco em organizações dos Estados Unidos, especialmente nos setores de tecnologia, serviços jurídicos e provedores de software em nuvem.
A ameaça foi atribuída ao uso do malware BRICKSTORM, um backdoor altamente furtivo projetado para operar em ambientes com baixa visibilidade de segurança, como appliances de rede e servidores que não suportam soluções tradicionais de detecção em endpoints. O BRICKSTORM é capaz de garantir persistência prolongada ao modificar scripts de inicialização e se comunicar com seus operadores por meio de canais criptografados. Segundo os investigadores, o malware permaneceu ativo em algumas redes por uma média de 393 dias antes de ser detectado, evidenciando seu alto grau de evasão.
A campanha visava a extração silenciosa de dados sensíveis e informações estratégicas de longo prazo, sem interromper os sistemas infectados ou levantar alertas de segurança. A infecção normalmente começa com comprometimento inicial de credenciais e movimentação lateral até alcançar dispositivos com pouca ou nenhuma proteção ativa. Para ajudar na detecção da ameaça, a Google e a Mandiant disponibilizaram ferramentas e regras YARA específicas para ambientes Unix, além de um scanner dedicado para identificação do malware em sistemas potencialmente comprometidos. As empresas afetadas incluíam provedores de SaaS, consultorias jurídicas e empresas de processamento de dados empresariais. O caso reforça a capacidade de ameaças avançadas se manterem invisíveis por longos períodos e o risco que representam para cadeias de suprimento e infraestrutura crítica, mesmo em empresas com alto grau de maturidade tecnológica.
