O malware Brickstorm ganhou destaque após um alerta conjunto da CISA, NSA e do Canadian Centre for Cyber Security, revelando uma nova e altamente sofisticada campanha de ciberespionagem que mira diretamente infraestruturas de virtualização. O alerta descreve uma ameaça capaz de comprometer snapshots, roubar credenciais e operar máquinas virtuais ocultas, colocando em risco ambientes corporativos inteiros.
A seguir, este artigo analisa a fundo o Brickstorm, suas táticas de evasão e a gravidade que representa para ambientes VMware vSphere. Explicamos como a ameaça opera, fazemos conexões com grupos como Warp Panda e UNC5221, e apresentamos um guia prático das principais recomendações emitidas pelos órgãos de segurança dos EUA e Canadá.
Profissionais de Segurança da Informação, SysAdmins, equipes de SecOps, arquitetos de nuvem e todos que gerenciam data centers devem entender o alerta imediatamente, já que o VMware vSphere é a espinha dorsal de operações críticas em empresas e governos.
O que é o malware Brickstorm e como ele ataca o VMware
O malware Brickstorm é uma nova ferramenta avançada de ciberespionagem atribuída a atores chineses e projetada especificamente para explorar ambientes VMware vSphere. A ameaça adota uma abordagem incomum, operando “por dentro” da virtualização em vez de atacar apenas sistemas operacionais convidados.
O Brickstorm se instala no host vSphere e cria um ambiente paralelo de controle, manipulando snapshots, gerando máquinas virtuais ocultas (Hidden VMs) e interceptando operações do vCenter. Seu objetivo principal é o roubo de credenciais administrativas, uma vez que o domínio sobre o vCenter equivale ao domínio sobre toda a infraestrutura virtual.
A ameaça também incorpora módulos para:
• Coletar snapshots de máquinas virtuais sem disparar alertas
• Modificar configurações da vSphere para permitir persistência invisível
• Operar VMs não listadas, mantidas fora da visualização comum da interface
• Interceptar e exfiltrar credenciais de administradores e serviços críticos
Por que o VMware é um alvo de alto valor?
A infraestrutura VMware, especialmente o vCenter, concentra controle total sobre redes inteiras de servidores. Atores avançados buscam esse alvo devido a três fatores fundamentais:
• Centralização total de gestão de hosts, VMs, permissões e snapshots
• Armazenamento de credenciais e tokens altamente privilegiados
• Capacidade de movimentação lateral invisível, uma vez que o tráfego entre hosts muitas vezes não é monitorado
Comprometer o vCenter é equivalente a comprometer o data center por completo. Por isso, APTs buscam cada vez mais ameaças como o malware Brickstorm VMware, projetadas para atuar na camada de virtualização e fora do radar das ferramentas tradicionais de EDR.
As técnicas avançadas de evasão do Brickstorm: do SOCKS ao DoH
Uma das características mais impressionantes do Brickstorm é o seu conjunto de técnicas multilayer criadas para dificultar detecção e análise. O malware combina criptografia profunda, camuflagem de tráfego e uso de protocolos modernos para comunicação discreta.
Entre as técnicas observadas, destacam-se:
• TLS aninhado
O Brickstorm encapsula múltiplas camadas de TLS dentro de TLS, criando canais criptografados sobre canais já criptografados. Isso impede inspeção profunda e quebra análises baseadas em padrões.
• Uso de DNS sobre HTTPS (DoH)
O malware usa DoH para resolver domínios de comando e controle, disfarçando suas consultas como tráfego HTTPS comum. Essa técnica dificulta a inspeção por gateways corporativos, que normalmente não analisam conteúdo de DoH.
• Proxy SOCKS para movimentação lateral
O Brickstorm utiliza um proxy SOCKS integrado que permite o encaminhamento de tráfego lateral entre hosts internos, sem utilizar diretamente portas de gerenciamento tradicionais. Isso camufla ataques que saltam entre hosts ESXi, vCenters e appliances conectados.
• Mapas de criptografia por camada
Cada estágio do malware usa chaves, métodos e formatos diferentes, criando “zonas herméticas” de comunicação que tornam a análise forense mais difícil.
Essas táticas colocam o Brickstorm entre as ameaças mais sofisticadas já direcionadas ao VMware vSphere, reforçando o caráter de operação de Estado-nação.
Recomendações cruciais da CISA para defesa da rede
A CISA publicou um conjunto robusto de orientações para que administradores de VMware possam identificar e bloquear a ação do malware. Essas recomendações devem ser seguidas com prioridade máxima.
Entre as ações críticas recomendadas estão:
• Implementar regras YARA e Sigma atualizadas
Autores do alerta disponibilizaram assinaturas específicas para detectar artefatos do Brickstorm e suas dependências.
• Reforçar inventário e varredura de hosts ESXi e vCenter
A CISA destaca que muitos ataques só são percebidos quando o ambiente já está comprometido há meses.
• Segmentar a rede de virtualização
Hosts e controladores devem estar isolados, com firewalls internos e controle estrito de tráfego leste-oeste.
• Revisar snapshots e listas de máquinas virtuais
Verificar inconsistências, VMs não listadas e snapshots suspeitos é essencial.
• Habilitar logs detalhados no vCenter, ESXi e appliances conectados.
Como utilizar os IOCs e assinaturas de detecção
O relatório conjunto inclui IOCs (Indicadores de Comprometimento) e sinais de atividade relacionados ao backdoor e às ferramentas auxiliares do Brickstorm. Administradores devem:
• Validar hashes, domínios e endereços observados no ambiente
• Aplicar imediatamente as regras YARA e Sigma fornecidas
• Verificar comunicação suspeita via DoH
• Monitorar portas associadas ao uso de proxy SOCKS
• Revisar processos estranhos em hosts ESXi, especialmente aqueles que persistem após reinicialização
Essas medidas são essenciais para detectar a presença do malware antes que ocorra escalonamento de privilégio ou exfiltração massiva.
Grupos de ameaças associados: Warp Panda e UNC5221
O malware Brickstorm possui características associadas a grupos de ciberespionagem chineses altamente avançados. Entre os grupos mais mencionados estão:
• Warp Panda
Grupo conhecido por ataques contra infraestrutura crítica e ambientes de virtualização.
• UNC5221
Um conjunto ativo em campanhas contra telecomunicações, governo e provedores de serviços, com histórico de abuso de VMware, Hyper-V e Xen.
Além disso, a campanha também faz referência a ferramentas como Junction e GuestConduit, usadas para persistência e movimentação lateral.
Essas associações reforçam que o Brickstorm não é uma ameaça comum, mas parte de uma operação coordenada e altamente especializada.
Conclusão: a segurança do data center em xeque
O alerta da CISA, NSA e Cyber Centre confirma que o malware Brickstorm representa uma ameaça crítica para ambientes de virtualização. O ataque combina evasão avançada, roubo de credenciais, abuso de snapshots e operação de VMs ocultas, tudo isso apoiado por grupos de Estado-nação experientes.
Para equipes de infraestrutura e segurança, o momento exige ação imediata: implementação das assinaturas de detecção, verificação profunda do ambiente VMware e segmentação da rede de virtualização. A superfície de ataque da camada de virtualização não pode mais ser tratada como “interna” ou de risco menor. O Brickstorm mostra que a espionagem digital está evoluindo para explorar camadas antes consideradas seguras.
Verifique seu ambiente VMware vSphere hoje mesmo usando as assinaturas da CISA e reforçando sua estratégia de defesa.
