Auf den Punkt: VerdantBamboo nutzt gezielt Linux-Appliances in unterversorgten Netzwerkpositionen als Zugangsbrücke, um hochwertige Ziele zu kompromittieren und Netzwerksicherheitsmechanismen zu umgehen.
Die chinesische Cyberspionage-Gruppe VerdantBamboo hat gezielt Linux-basierte Storage- und Netzwerkgeräte kompromittiert, um über diese in Microsoft-365-Umgebungen einzudringen. Die Angreifer infiltrierten Kunden über den Managed Services Provider und verborgen ihre Aktivitäten als legitimer Netzverkehr.
Die von Volexity dokumentierten Angriffe der Gruppe VerdantBamboo (auch als Clay Typhoon, UNC5221 und Warp Panda bekannt) zielen auf Linux-basierte Netzwerkgeräte ab. Der erste Zugriff erfolgte über einen Managed Services Provider, dessen pfSense-Firewall mit einer FreeBSD-kompatiblen Variante der BRICKSTORM-Malware infiziert wurde. Von dort aus infiltrierten die Angreifer das Opfernetzwerk. Die Erstinfektion des Zielunternehmens wurde im September 2025 während einer Vorfallreaktion entdeckt; der ursprüngliche Zugriff lag jedoch mindestens 18 Monate zurück.
Die operative Kette nutzte eine Schwachstelle zur Rechteausweitung auf einem Egnyte Storage Sync-System, um die BRICKSTORM-Hintertür zu installieren. Diese Lücke wurde vom Hersteller erst im März 2026 mit Version 13.13 geschlossen. Nach Reinigungsmaßnahmen gelang VerdantBamboo eine erneute Infiltration mittels gestohlener administrativer Anmeldedaten, diesmal über die Firewall. Die Angreifer konfigurierten einen persistenten Web-SSL-VPN-Zugang und deplierten zusätzliche Malware auf ein Synology NAS-System.
Für CISOs ist das operative Vorgehen zentral: VerdantBamboo missbrauchte die VPN-Proxy-Funktionen des Storage-Systems in Kombination mit kompromittierten Zugangsdaten, um auf die Microsoft-365-Umgebung zuzugreifen und dabei Regeln für bedingten Zugriff zu umgehen. Der Datenverkehr tarnte sich als legitimer interner Traffic.
Die eingesetzte Malware-Landschaft umfasst PLENET (auch GRIMBOLT genannt) — eine .NET-Core-basierte Hintertür mit AOT-Kompilierung, die interaktive Shells und Befehlsausführung unterstützt — sowie AGENTPSD, eine Python-basierte Reverse-Shell als Fallback-Mechanismus. PLENET wurde bereits im Februar 2026 von Google bei der Gruppe UNC6201 dokumentiert, die eine kritische Dell-RecoverPoint-Schwachstelle seit Mitte 2024 ausnutzte.
VerdantBamboo operiert mit hoher Disziplin: Die Gruppe nutzt maßgeschneiderte Persistenzmechanismen auf Endpunkten ohne EDR-Coverage, begrenzt aktiv die Anzahl genutzter Domains und IP-Adressen pro Opfer und wählt Ziele strategisch aus der Lieferkette. Der Angriff unterstreicht die Kritikalität von Vulnerability Management für Linux-Appliances und der Überwachung von Managed Service Provider-Zugängen.
Quelle: www.it-daily.net · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.