Un actor de amenazas del nexo con China pirateó entornos VMware vCenter en empresas con sede en EE. UU. antes de implementar el malware Brickstorm, empresa de seguridad CrowdStrike advirtió en una publicación de blog publicado el jueves.
El actor de amenazas, rastreado bajo el nombre de Warp Panda, apuntó a múltiples industrias durante el verano de 2025, incluidas empresas legales, de tecnología y de fabricación.
Warp Panda se ha dirigido a entidades principalmente en América del Norte y Asia Pacífico en un esfuerzo por apoyar objetivos estratégicos del Partido Comunista Chino, según CrowdStrike. Estos incluyen la competencia económica, el avance de su tecnología y la creciente influencia regional.
“Hemos observado que acceden a información relacionada con temas alineados con los intereses del gobierno chino, datos confidenciales relacionados con equipos de ingeniería de redes y respuesta a incidentes”, dijo a Cybersecurity Dive Adam Meyers, jefe de operaciones de contraataque en CrowdStrike. «Los datos a los que han accedido proporcionan información sobre tecnología patentada, información confidencial de negociación, operaciones y, potencialmente, cómo trabajan las empresas con socios gubernamentales».
Además de la implementación del malware Brickstorm, los piratas informáticos también implementaron shells web JSP y dos implantes basados en Golang, rastreados como Junction y Guest Conduit, dirigidos a entornos de hipervisor VMware ESXi.
Los piratas informáticos aprovecharon los dispositivos periféricos conectados a Internet para obtener acceso inicial, antes de pasar a entornos vCenter utilizando credenciales válidas o explotando vulnerabilidades en vCenter.
Los funcionarios de Broadcom reconocieron las advertencias de amenazas.
«Somos conscientes de los informes de que los actores de amenazas cibernéticas han utilizado el malware Brickstorm dentro de las instalaciones de VMware después de obtener acceso a los entornos de los clientes», dijo un portavoz a Cybersecurity Dive por correo electrónico.
Los funcionarios de Broadcom dijeron que los clientes deben aplicar parches en toda la infraestructura, incluido el software VMware, y tomar las medidas recomendadas para proteger los entornos vSphere.
Warp Panda se ha centrado en mantener un acceso persistente a largo plazo durante estos ataques. En un incidente, los piratas informáticos obtuvieron acceso inicial en 2023.
la alerta coincidió con un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad y la Agencia de Seguridad Nacional el miércoles, advirtiendo sobre piratas informáticos apoyados por el estado que utilizan el malware Brickstorm para atacar plataformas VMware vSphere en servicios gubernamentales y proveedores de tecnología de la información.
CISA, la NSA y el Centro Canadiense de Seguridad Cibernética advirtieron que los piratas informáticos están robando instantáneas de máquinas virtuales clonadas para extraer credenciales y crear máquinas virtuales ocultas y no autorizadas.
CISA ha recopilado ocho muestras de malware de organizaciones específicas. En un caso, las organizaciones se enteraron de que los piratas informáticos permanecieron dentro de una red desde abril de 2024 hasta septiembre de 2025.
En septiembre, investigadores del grupo de inteligencia sobre amenazas de Google advirtió sobre piratas informáticos vinculados al estado que implementan el malware Brickstorm en ataques a la cadena de suministro contra empresas de tecnología y proveedores de SaaS.
GTIG dijo que los actores vinculados al estado están evolucionando el uso de Brickstorm en ataques continuos contra organizaciones estadounidenses.
«Esta campaña destaca una tendencia más amplia de los actores del nexo con China que apuntan a dispositivos como dispositivos de red, que a menudo carecen de suficiente monitoreo de seguridad», dijo Austin Larsen, analista principal de amenazas de GTIG, a Cybersecurity Dive por correo electrónico. «El objetivo de esta campaña de larga duración es robar datos confidenciales de organizaciones con sede en Estados Unidos para obtener ventajas estratégicas».
Nota del editor: actualiza la historia con comentarios de CrowdStrike y Broadcom.
Fuente