El backdoor BRICKSTORM de UNC5221 es algo más que otro trozo de malware. Demuestra que los adversarios avanzados están ganando escondiéndose en los lugares que los equipos de SOC no pueden ver. Mandiant descubrió que los atacantes que utilizaban BRICKSTORM vivían dentro de las empresas estadounidenses durante más de 400 días de media antes de ser detectados. Lo consiguieron aprovechando los puntos ciegos de los dispositivos de red, las plataformas de virtualización y los sistemas de identidad. En esta campaña no se trataba de ataques por sorpresa. Se trataba de paciencia, sigilo y persistencia en infraestructuras que la mayoría de las herramientas de seguridad ignoran.
Electrodomésticos en la oscuridad: donde se escondió BRICKSTORM
BRICKSTORM tuvo éxito porque vivía en lugares que la mayoría de los equipos de seguridad raramente vigilan. La puerta trasera estaba diseñada para ejecutarse en dispositivos periféricos como pasarelas VPN, cortafuegos y servidores VMware vCenter. Estos sistemas son fundamentales para la continuidad de la empresa, pero a menudo carecen de agentes de punto final y generan registros mínimos. Esta brecha de seguridad creó el escondite perfecto.
Una vez instalado, BRICKSTORM se mezclaba con los procesos normales e incluso persistía en los reinicios modificando los scripts de inicio. Desde la perspectiva del atacante, este es el punto de apoyo ideal. Desde la perspectiva del defensor, es casi invisible. Los equipos SOC que supervisan los puntos finales y las cargas de trabajo cloud nube no tenían ninguna señal de que los adversarios estuvieran operando dentro de la infraestructura que conecta esos sistemas entre sí.
Estos puntos ciegos daban a los atacantes el espacio que necesitaban para permanecer ocultos. Pero el sigilo no sólo tenía que ver con dónde vivían, sino también con cómo operaban.

Sigilo que duró más de un año
Los operadores de UNC5221crearon BRICKSTORM para evitar todos los métodos de detección tradicionales. Cada implante se compilaba de forma exclusiva para su víctima, a menudo desprovisto de identificadores y ofuscado para que pareciera un proceso legítimo. Algunas versiones incluían incluso una función de inicio retardado, que permanecía latente durante meses antes de activarse. Cuando el malware se activaba, el personal de respuesta a incidentes ya había pasado página.
Esta estrategia explica el asombroso tiempo de permanencia de unos 400 días. Los indicadores de compromiso eran prácticamente inútiles. No había dominios reutilizados, ni hashes de archivos repetidos, ni firmas en las que confiar. En su lugar, los atacantes vivían del terreno, utilizando credenciales válidas y herramientas de administración estándar para moverse lateralmente y robar datos. Su presencia se mezclaba tan limpiamente con la actividad rutinaria que incluso los equipos SOC más experimentados se perdían las señales.
La realidad es que este nivel de sigilo no puede captarse con un enfoque estático. Para acortar el tiempo de permanencia, la detección tiene que pasar de perseguir indicadores a vigilar el comportamiento. Solo detectando sutiles anomalías en el funcionamiento de la infraestructura, los usuarios y los servicios pueden los defensores acercarse a la ventaja de la que disfrutó BRICKSTORM.
Cuando los electrodomésticos se convierten en una puerta de acceso a la identidad
Para UNC5221, BRICKSTORM nunca fue el objetivo final. Los dispositivos comprometidos sirvieron como trampolín hacia los sistemas que más importan: la infraestructura de identidad.
Una vez dentro, los atacantes clonaron controladores de dominio completos para extraer silenciosamente bases de datos de Active Directory. Desplegaron filtros servlet personalizados dentro de VMware vCenter para desviar credenciales de administrador. En entornos cloud , registraron aplicaciones falsas en Microsoft 365 para leer buzones de correo como si fueran servicios legítimos. Cada uno de estos movimientos dio a los atacantes acceso privilegiado sin hacer saltar las alarmas.
Desde la perspectiva de un defensor, parecía como si administradores normales iniciaran sesión, clonaran máquinas o concedieran permisos a aplicaciones cloud . En realidad, se trataba de un lento desmantelamiento de la confianza en el núcleo de la empresa.
Este giro hacia la identidad es la parte más dañina de la campaña. Una vez que los adversarios controlan los controladores de dominio o la autenticación SaaS, pueden acceder prácticamente a cualquier recurso. BRICKSTORM reveló cómo los agresores combinan ahora los puntos de apoyo de los dispositivos con el robo de credenciales para dominar los entornos híbridos.
Proteger únicamente los puntos finales ya no es suficiente cuando la identidad es el premio final.
Impacto en Supply Chain más allá del objetivo principal
UNC5221 no se detiene en las empresas individuales. Muchas de las organizaciones comprometidas por BRICKSTORM eran proveedores de servicios : plataformas SaaS, empresas de subcontratación y servicios jurídicos que almacenan datos o proporcionan acceso a docenas de clientes. Al incrustarse en estos proveedores, los atacantes se posicionaron para llegar mucho más allá de una única red.
Esta estrategia magnifica el impacto de cada compromiso. Un punto de apoyo en una empresa de SaaS podría exponer datos sensibles de agencias gubernamentales. La intrusión en un socio de subcontratación podría abrir vías de acceso a varios sectores a la vez. Para el atacante, es una forma eficaz de ampliar su alcance. Para los defensores, es un recordatorio de que su postura de seguridad es tan fuerte como los socios y proveedores en los que confía.
La campaña BRICKSTORM pone de manifiesto cómo está evolucionando el riesgo en la cadena de suministro. No siempre se trata de inyectar código malicioso en las actualizaciones de software. A veces se trata de atacar el tejido conectivo de los servicios empresariales y explotar las relaciones de confianza para introducirse silenciosamente en nuevos entornos.
Frente a un adversario de nivel superior
Mandiant describió a UNC5221 como un "adversario muy, muy avanzado", y BRICKSTORM lo demostró. Estos operadores no se basaron en familias de malware reutilizadas en distintas campañas. Construyeron implantes personalizados, desplegaron una infraestructura única para cada víctima y desmantelaron las pruebas antes de que los equipos de respuesta pudieran recogerlas. Cada movimiento demostró paciencia y disciplina.
Las defensas tradicionales no están hechas para este tipo de oponente:
- La detección de endpoints pasa por alto los dispositivos que ponen en peligro.
- Los SIEM se ahogan en el ruido mientras las verdaderas anomalías se cuelan.
- Las actualizaciones de firmas no pueden seguir el ritmo de los binarios únicos y la persistencia en memoria.
Contra un actor que invierte tanto en el sigilo, la única respuesta realista es cambiar el modelo de detección.
Ese cambio significa centrarse en el comportamiento más que en los indicadores. Significa correlacionar la actividad a través de la red, la identidad y los entornos cloud para exponer los patrones sutiles que ninguna herramienta puede ver de forma aislada. Todo lo que no sea eso deja lagunas que un adversario decidido explotará durante meses o incluso años.
Acortar distancias con Vectra AI
La campaña BRICKSTORM se diseñó para desaparecer en el ruido. Se dirigía a través de front-ends cifrados cloud , tunelaba DNS dentro de HTTPS, pivotaba con credenciales válidas y almacenaba datos silenciosamente durante meses. Estos son exactamente los tipos de comportamientos que la plataformaVectra AI está diseñada para detectar.
He aquí cómo Vectra AI cierra las brechas que aprovechan los atacantes:
Comunicaciones externas y exfiltración
- Tráfico C2 cifrado y de fachada: Los análisis avanzados de C2 detectan dominios de fachada, balizamiento intermitente, uso inusual de SaaS o de cloud y sesiones C2 cifradas. Los modelos analizan las anomalías en las cabeceras HTTP, los agentes de usuario, la rareza de los destinos y la regularidad de las balizas para descubrir el C2 oculto alojado por trabajadores , como el uso de HTTPS y WSS en servicios cloud nube por parte de BRICKSTORM.
- Resolución de DNS sobre HTTPS: La detección de túneles HTTPS ocultos y los modelos de aprendizaje automático de Vectra detectan patrones de DoH ocultos en el tráfico cifrado. Esto aborda directamente el uso de DoH por parte de BRICKSTORM para la resolución C2 encubierta.
- DNS y tunelización de protocolos para la exfiltración: Si los atacantes recurren al túnel DNS o a la exfiltración de datos a través de C2, el túnel DNS oculto de Vectra y las detecciones ATT&CK-mapped destacan inmediatamente los patrones anómalos.
Movimiento interno y recogida
- Movimiento lateral y reconocimiento: Cuando BRICKSTORM retransmite tráfico RDP o SMB y pivota con credenciales válidas, detecciones como SMB Account Scan y Kerberos Account Scan alertan del uso indebido de credenciales y de sondeos internos sospechosos.
- Puesta en escena y recopilación: El acceso masivo a repositorios, bases de código o archivos compartidos activa las detecciones de recopilación de datos. Esto permite detectar a los agresores que preparan el material para la filtración antes de que se produzca la pérdida de datos.
Defensa en profundidad
- Cobertura COI complementaria: Para una defensa adicional en profundidad, los sensores Vectra pueden ejecutar reglas basadas en Suricata (SPA), incluidas firmas comunitarias como la regla BRICKSTORM C2 de NVISO, para complementar los análisis basados en el comportamiento.
Con este enfoque multicapa, los equipos SOC no tienen que perseguir hashes o dominios únicos. En su lugar, pueden ver los comportamientos que los adversarios avanzados no pueden ocultar. Vectra AI correlaciona las detecciones en la red, la identidad, SaaS y la cloud, convirtiendo los puntos de apoyo invisibles en amenazas visibles y reduciendo el tiempo de permanencia de meses a instantes.
Conclusión: Aprender de BRICKSTORM
BRICKSTORM no es una puerta trasera más. Es un recordatorio de que los adversarios más avanzados prosperan en los lugares que las herramientas tradicionales no cubren. UNC5221 sobrevivió durante más de un año dentro de las redes empresariales porque operaba en puntos ciegos, abusaba de la identidad y movía datos a través de canales que parecían legítimos.
Los defensores no pueden confiar en indicadores o firmas estáticas cuando los atacantes cambian de infraestructura con cada víctima. Lo que importa es la capacidad de detectar comportamientos que permanezcan constantes en todas las campañas, por mucho que cambie el propio malware . Eso es exactamente lo que ofrece la plataforma Vectra AI .
Al cerrar las brechas de detección en la red, la identidad, SaaS y la cloud, Vectra AI permite a los equipos SOC ver lo que otros pasan por alto y detener las operaciones furtivas antes de que se conviertan en otro compromiso de un año de duración.
Vea cómo Vectra AI elimina las lagunas de detección. Realice hoy mismo la demostración autoguiada.