Seu antivírus pode não ver o inimigo se ele estiver escondido na infraestrutura que sustenta os servidores. A CrowdStrike diz ter identificado o WARP PANDA, um grupo ligado à China especializado em espionagem cibernética de longo prazo. O alvo não é o computador do funcionário, é o “motor” do datacenter: VMware e nuvem, como Microsoft Azure e Microsoft 365, onde os dados mais valiosos circulam.
Quem é o WARP PANDA e por que atacar a virtualização é diferente
De acordo com a investigação da CrowdStrike, o WARP PANDA foi observado em 2025 atacando organizações dos setores jurídico, tecnologia e manufatura nos Estados Unidos, com pelo menos um caso de acesso inicial no fim de 2023. O comportamento lembra um APT: paciência, boa OPSEC e foco em inteligência, não em extorsão.
Segundo a CrowdStrike, o acesso inicial tende a começar em sistemas de borda expostos à internet, e depois o adversário pivota para ambientes de virtualização usando credenciais válidas ou falhas conhecidas no VMware vCenter.
A camada atacada é o que eleva o risco. Comprometer um servidor é invadir um cômodo. Comprometer vCenter e hosts ESXi é atingir o quadro elétrico do prédio. Quem controla a virtualização pode enxergar várias máquinas virtuais, criar instâncias de apoio e atravessar barreiras que, no papel, isolam sistemas críticos. É o “fantasma na máquina”, vivendo no espaço entre as VMs.
O arsenal: BRICKSTORM e implantes VMware (Junction e GuestConduit)
A CrowdStrike atribui ao grupo três famílias inéditas de malware, com uma divisão clara de funções.
BRICKSTORM é um backdoor em Go que se camufla como processos legítimos do vCenter (por exemplo, updatemgr e vami-http). Ele oferece gerenciamento de arquivos e tunelamento, além de comunicação com C2 via WebSockets sobre TLS, desenhada para não chamar atenção na rede. O detalhe crítico é a resiliência: o implante foi observado com mecanismos para retornar à operação quando interrompido, o que transforma “limpezas rápidas” em sensação de vitória.
O salto técnico vem com dois implantes voltados à virtualização. Junction roda em VMware ESXi e se disfarça de serviço legítimo ao escutar na porta 8090, usada também por vvold. Ele atua como servidor HTTP e permite executar comandos e fazer proxy de tráfego. O ponto-chave é que ele usa VSOCK (VM sockets), um canal direto entre hipervisor e VMs que não depende do tráfego normal da rede.
GuestConduit roda dentro de uma VM convidada e abre um listener VSOCK na porta 5555. Ele processa requisições em JSON para espelhar ou encaminhar tráfego e, segundo a análise, foi pensado para trabalhar junto com os comandos de tunelamento do Junction. Imagine dois cúmplices que não atravessam o corredor monitorado do prédio. Eles conversam por um duto interno escondido na parede, o tipo de conversa que muitos sensores não escutam.
Como tática de furtividade, a CrowdStrike também descreve limpeza de logs, timestomping e até VMs maliciosas não registradas no vCenter, usadas por pouco tempo e desligadas depois.
Espionagem silenciosa na nuvem: Azure e Microsoft 365 como cofre de documentos
O alvo final é inteligência, e hoje ela mora em SaaS. A CrowdStrike relata que, no fim do verão de 2025, o grupo abusou de acessos a Microsoft Azure para coletar dados do Microsoft 365 em OneDrive, SharePoint e Exchange. Entre as técnicas citadas está o roubo de tokens de sessão, provavelmente via exfiltração de arquivos do navegador, seguido de replay de sessão para acessar serviços do M365. Em pelo menos um incidente, o adversário registrou um novo dispositivo de MFA por meio de um código do aplicativo autenticador, depois do primeiro login.
O que muda para defensores: a detecção precisa subir um andar
A lição para WARP PANDA espionagem chinesa é simples: proteger endpoints não basta quando o atacante opera no hipervisor e na identidade em nuvem. Um mínimo viável de defesa inclui monitorar VMs não sancionadas e discrepâncias no inventário do vCenter, centralizar e reter logs de vCenter e ESXi fora do ambiente, reduzir ou desabilitar SSH em ESXi e investigar qualquer uso humano do vpxuser, restringir saída para a internet a partir da camada de gerenciamento e tratar a porta 8090 como um sinal que merece caça ativa.
