An ninh mạng

Nhóm gián điệp mạng VerdantBamboo tấn công hệ thống Linux bằng biến thể mã độc BRICKSTORM

Nhóm hacker VerdantBamboo đang nhắm mục tiêu vào các thiết bị Linux thông qua việc triển khai biến thể BSD của mã độc BRICKSTORM cùng các công cụ PLENET và AGENTPSD.

Nguyen Hung
8 Tháng 6, 2026 2 Min Read
2 0

Nhóm gián điệp mạng có liên hệ với Trung Quốc, được biết đến với tên gọi VerdantBamboo, đang thực hiện các chiến dịch tấn công tinh vi nhắm vào hệ thống Linux. Theo báo cáo từ Volexity, nhóm này đã triển khai một biến thể BSD của mã độc BRICKSTORM, cùng với hai dòng malware khác là PLENET (còn gọi là GRIMBOLT) và AGENTPSD.

Table Of Content

Phương thức tấn công tinh vi

VerdantBamboo, nhóm hacker có sự trùng lặp hoạt động với các tổ chức như Clay Typhoon, UNC5221 và Warp Panda, đã bắt đầu chiến dịch từ khoảng tháng 9/2025. Kẻ tấn công đã khai thác lỗ hổng leo thang đặc quyền cục bộ trên hệ thống Egnyte Storage Sync để cài đặt BRICKSTORM. Mặc dù lỗ hổng này đã được vá trong phiên bản 13.13 vào tháng 3/2026, nhưng kẻ tấn công vẫn duy trì quyền truy cập thông qua các thông tin xác thực bị đánh cắp và VPN.

Đáng chú ý, nhóm này đã xâm nhập vào nhà cung cấp dịch vụ quản lý (MSP) của nạn nhân, từ đó lây nhiễm mã độc vào tường lửa pfSense. Điều này cho phép chúng kiểm soát mạng nội bộ và triển khai thêm các công cụ độc hại lên thiết bị lưu trữ NAS qua giao thức SSH.

Các loại mã độc được sử dụng

  • PLENET (GRIMBOLT): Một backdoor đa nền tảng được phát triển bằng .NET Core, hỗ trợ shell tương tác, thực thi lệnh từ xa và khả năng chuyển đổi server C2 (Command-and-Control).
  • AGENTPSD: Một reverse shell dựa trên Python, đóng vai trò là cơ chế dự phòng nếu các implant chính bị vô hiệu hóa.

Đánh giá từ chuyên gia

Volexity nhận định VerdantBamboo là một tác nhân đe dọa có kỹ năng cao, thường xuyên áp dụng kỹ thuật living-off-the-land (sử dụng các công cụ có sẵn trong hệ thống) để tránh bị phát hiện. Chúng đặc biệt nhắm vào các thiết bị chuyên dụng vốn không hỗ trợ hoặc khó triển khai phần mềm EDR (Endpoint Detection and Response). Việc tùy chỉnh cơ chế duy trì (persistence) cho từng thiết bị cho thấy sự chuẩn bị kỹ lưỡng và kỷ luật vận hành cao của nhóm này.

Các chuyên gia khuyến cáo các tổ chức cần rà soát lại các thiết bị mạng, cập nhật các bản vá bảo mật mới nhất và giám sát chặt chẽ các kết nối VPN để ngăn chặn sự xâm nhập từ các nhóm APT tương tự.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept