BRICKSTORM: backdoor Rust su vSphere, CISA e NSA aggiornano

BRICKSTORM: backdoor Rust su vSphere, CISA e NSA aggiornano

CISA, NSA e Canadian Centre for Cyber Security hanno aggiornato l’11 febbraio 2026 il Malware Analysis Report su BRICKSTORM, backdoor ELF per ambienti VMware vSphere. L’analisi rivela una nuova variante scritta in Rust, più resiliente alla forensic rispetto ai precedenti campioni in Go, e ricostruisce una catena di compromissione reale culminata nel controllo del vCenter. Per le organizzazioni che virtualizzano carichi critici, il messaggio è chiaro: gli attaccanti migrano verso linguaggi ad alte prestazioni per resistere all’analisi e mantenere persistenza silenziosa.

Da Go a Rust: perché il linguaggio cambia la partita

CISA ha analizzato 12 campioni di BRICKSTORM provenienti da incidenti reali, incluso un intervento di incident response condotto direttamente dall’agenzia. Otto campioni originali erano scritti in Go, mentre due dei tre esemplari aggiunti nel dicembre 2025 e il campione aggiornato all’11 febbraio 2026 sono Rust-based. Il passaggio non è casuale: Rust offre binari più compatti, gestione della memoria sicura e un footprint che complica il reverse engineering rispetto ai modelli tradizionali.

"BRICKSTORM is a custom Executable and Linkable Format (ELF) Go-or Rust-based backdoor (eight originally analyzed samples are Go-based, and two of the three new samples in the Dec. 19, 2025, update are Rust-based)." — CISA Malware Analysis Report AR25-338A

A differenza di Go, che già garantiva cross-compilazione e binari autonomi, Rust aggiunge resistenza all’analisi statica e una curva di apprendimento più ripida per i difensori. CISA non attribuisce la nuova variante a un gruppo diverso, ma lascia esplicitamente aperto lo scenario: non è chiaro se il cambio di linguaggio rifletta una rotazione di TTP o l’ingresso di un attore distinto. Nel dubbio, il report tratta entrambe le versioni come parte dello stesso arsenale, aggiornato nel tempo.

Persistenza nella sysconfig: il meccanismo di sopravvivenza

BRICKSTORM non si limita a insediarsi: resiste alla rimozione. Il malware modifica il file init di vSphere in /etc/sysconfig/ per essere eseguito al boot da un percorso hard-coded all’interno della stessa directory. Se qualcuno cancella il binario, una self-watching function lo reinstalla automaticamente, ripristinando la presenza nell’infrastruttura. Questo meccanismo trasforma una pulizia superficiale in una partita costante, dove l’eliminazione manuale del file non è sufficiente.

La persistenza via init file è particolarmente insidiosa su vSphere perché tocca il cuore del sistema di virtualizzazione. Un backdoor con accesso a questo livello può monitorare, redirezionare o compromettere carichi di lavoro senza mai toccare i guest. Nell’incidente documentato, gli attaccanti hanno raggiunto questo strato solo dopo aver sottratto credenziali MSP, evidenziando come la gestione esterna dell’infrastruttura aumenti la superficie d’attacco se le identità privilegiate non sono segmentate.

Per i team di sicurezza, la risposta non può più limitarsi alla scansione antivirus: serve verifica della catena di boot, controllo dell’integrità dei file di sistema e correlazione tra processi anomali e modifiche in /etc/sysconfig/.

C2 annidato: WebSockets, TLS e DNS-over-HTTPS

Per il comando e controllo, BRICKSTORM impiega una stratificazione deliberata di protocolli. Il report congiunto indica che il malware adopera multipli strati di crittografia — HTTPS, WebSockets e TLS annidato — per occultare le comunicazioni verso il server C2, oltre a DNS-over-HTTPS e funzionalità che mimano un web server per fondersi nel traffico legittimo. Questa architettura non serve solo a nascondere, ma a operare: gli operatori dispongono di una shell interattiva, gestione file e proxy SOCKS per il lateral movement.

Il traffico mimetizzato da web server rende complesso distinguere le sessioni malevole da quelle amministrative, soprattutto in ambienti MSP dove il flusso di connessioni RDP e HTTPS verso vCenter è ordinario. Il rischio concreto è che il C2 passi inosservato per settimane pur essendo attivo, raccogliendo dati e preparando nuovi movimenti laterali senza generare alert significativi sui firewall perimetrali.

Da web server a vCenter: timeline di un intrusione

Il report non si limita all’analisi statica: ricostruisce un intrusione concreta accaduta nell’aprile 2024. Il 12 aprile, gli attaccanti si sono mossi lateralmente da un web server a un domain controller della rete interna sfruttando RDP e le credenziali di un secondo service account. Da lì hanno copiato il database Active Directory, estraendo le credenziali di un provider di servizi gestiti (MSP) che amministrava l’ambiente VMware. Con quelle chiavi hanno raggiunto il server vCenter e, successivamente, si sono propagati via SMB verso un jump server e i sistemi ADFS.

CISA sottolinea che l’analisi dell’incidente è ancora in corso. Non è noto come gli attaccanti abbiano ottenuto inizialmente le credenziali del service account, né l’impatto complessivo della compromissione è stato definitivamente quantificato. Questo limite rende la timeline ancora più preziosa: mostra che bastano poche ore tra il primo movimento laterale e il controllo dell’hypervisor, e che le credenziali MSP rappresentano un ponte critico che le aziende sottovalutano.

La rapida escalation dall’accesso iniziale al controllo dell’hypervisor sottolinea una verità spesso ignorata: la sicurezza di vSphere dipende tanto dal perimetro quanto dalla protezione delle credenziali privilegiate. Quando un MSP gestisce l’infrastruttura virtuale di un cliente, la compromissione di quella identità equivale a un ponte aperto verso il cuore della rete.

Cosa fare adesso

1. Verificare gli IOCs pubblicati. CISA ha rilasciato hash, firme YARA e Sigma nel Malware Analysis Report AR25-338A. I team devono scaricare gli indicatori e confrontarli con i binari presenti in /etc/sysconfig/ e nei percorsi di avvio di vSphere, prestando attenzione ai campioni Rust che possono eludere le firme tradizionali.
2. Isolare e monitorare vCenter. L’incidente del 2024 ha dimostrato che gli attaccanti usano credenziali MSP per raggiungere l’hypervisor. È necessario revisionare gli accessi RDP e SMB, segmentare le account amministrative dei provider e abilitare il logging centralizzato sulle azioni eseguite nel client vSphere.
3. Rivedere la catena di boot. La self-watching function di BRICKSTORM rende inutile la sola cancellazione del file. Serve un controllo di integrità persistente sui file init, l’uso di secure boot ove supportato e la verifica ricorrente delle modifiche in /etc/sysconfig/ anche dopo la rimozione iniziale.
4. Monitorare DoH e WebSockets. Il C2 sfrutta DNS-over-HTTPS e canali WebSocket per fondersi nel traffico legittimo. Le organizzazioni devono analizzare le query DNS cifrate e le sessioni WebSocket verso endpoint esterni, correlando le connessioni anomale con attività su vCenter e domain controller.

BRICKSTORM non è un proof of concept isolato, ma la traccia di un attore che ha imparato a fondersi nell’infrastruttura critica. La migrazione da Go a Rust, la persistenza nel boot e il C2 multi-strato disegnano un arsenale costruito per durare. Le agenzie hanno fornito gli strumenti per scovarlo: ora spetta ai team di sicurezza usare il report come benchmark per stressare le proprie difese.

Domande frequenti

BRICKSTORM colpisce solo vSphere?

Il report analizza 12 campioni ELF per VMware vSphere, ma CISA segnala anche l’esistenza di versioni Windows non esaminate nel dettaglio. L’ambiente virtualizzato rimane il bersaglio documentato.

La sola cancellazione del file basta a rimuovere il backdoor?

No. BRICKSTORM implementa una self-watching function che lo reinstalla automaticamente se rilevato mancante. Serve una risposta strutturata: verifica della catena di boot, controllo di integrità e scansione con le firme aggiornate rilasciate dalle agenzie.

Il passaggio a Rust indica un nuovo gruppo di attaccanti?

CISA non conferma un’attribuzione diversa. Non è chiaro se il cambio di linguaggio rifletta una rotazione di TTP o lo sviluppo parallelo dello stesso attore. Il report tratta entrambe le varianti come parte dello stesso arsenale evoluto.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://www.cisa.gov/news-events/analysis-reports/ar25-338a
• https://thehackernews.com/