كشفت شركة Volexity للأمن السيبراني عن نشاط جديد لمجموعة تجسس إلكتروني مرتبطة بالصين تُعرف باسم VerdantBamboo، حيث قامت بنشر نسخة معدلة من البرمجية الخلفية BRICKSTORM مهيأة للعمل على أنظمة BSD، إضافة إلى برمجيتين أخريين هما PLENET (المعروفة أيضًا باسم GRIMBOLT) وAGENTPSD لاستهداف أنظمة لينكس.
تم اكتشاف الاختراق خلال تحقيق استجابة لحوادث في سبتمبر 2025، عندما تبين أن المهاجمين استغلوا ثغرة في أداة Egnyte Storage Sync للحصول على صلاحيات مرتفعة وتنفيذ البرمجية الخبيثة. وقد تمت معالجة هذه الثغرة في الإصدار 13.13 الصادر في مارس 2026.
استغلال البنية التحتية للشركات
أوضحت التقارير أن المهاجمين استخدموا قدرات البروكسي في BRICKSTORM إلى جانب بيانات اعتماد مسروقة للوصول إلى بيئة Microsoft 365 الخاصة بالضحية، متخفين ضمن حركة مرور الشبكة الشرعية لتجاوز سياسات الوصول الشرطي.
ورغم محاولات المعالجة الأولية، عاد المهاجمون لاحقًا عبر بيانات اعتماد إدارية مسروقة، حيث اخترقوا جدار الحماية وأعادوا تهيئة الوصول عبر SSL VPN، ثم نشروا برمجيات إضافية على أجهزة تخزين شبكي من نوع Synology NAS.
استهداف مزوّد خدمات مُدار (MSP)
التحقيقات كشفت أن مجموعة VerdantBamboo لم تكتف باختراق المؤسسة المستهدفة، بل امتد نشاطها إلى مزوّد الخدمات المُدار (MSP) الخاص بها، حيث أصيب جدار حماية pfSense ببرمجية BRICKSTORM المعدلة للعمل على BSD. هذا الاختراق سمح للمهاجمين بالتحكم في البنية التحتية للشركة والانتقال إلى أنظمة أخرى.
كما نشر المهاجمون عبر بروتوكول SSH برمجية PLENET المبنية على .NET Core، والتي توفر إمكانيات مثل تنفيذ الأوامر عن بُعد، إدارة الملفات، وتغيير خوادم التحكم والسيطرة (C2). إلى جانب ذلك، استخدموا برمجية AGENTPSD المبنية بلغة بايثون كقناة احتياطية في حال تعطلت البرمجية الأساسية.
ارتباطات مع مجموعات تهديد أخرى
من الجدير بالذكر أن استخدام PLENET ظهر سابقًا في تقارير Google خلال فبراير 2026، حيث ارتبط بهجمات نفذتها مجموعة تهديد صينية أخرى هي UNC6201، والتي استغلت ثغرة خطيرة في Dell RecoverPoint for Virtual Machines (CVE-2026-22769) منذ منتصف 2024.
تؤكد Volexity أن مجموعة VerdantBamboo تتمتع بقدرات متقدمة ومعرفة عميقة بالأجهزة المتخصصة التي لا تعمل عادةً ببرمجيات الحماية التقليدية (EDR)، ما يسمح لها بتطوير آليات مخصصة للثبات والاستمرارية على كل جهاز مستهدف. كما تعتمد المجموعة على عدد محدود من النطاقات وعناوين IP لكل ضحية، مع ضبط أسماء البرمجيات الخبيثة بما يتناسب مع كل بيئة، وهو ما يعكس انضباطًا عاليًا في العمليات الأمنية.
