Volexity ordnet die Kampagne einem Cluster zu, den das Unternehmen als VerdantBamboo verfolgt. Nach Einschätzung der Firma gibt es Überschneidungen mit den von Microsoft, Google und CrowdStrike als Clay Typhoon, UNC5221 beziehungsweise Warp Panda bezeichneten Gruppen. Im Mittelpunkt stehen Linux-basierte Appliances und Systeme, auf denen die Akteure neben BRICKSTORM auch PLENET und AGENTPSD platzierten.
Ausgangspunkt der Untersuchung war ein Vorfall bei einer nicht genannten Organisation. Laut dem in der vergangenen Woche veröffentlichten technischen Bericht von Damien Cash, Paul Rascagneres, Steven Adair und Tom Lancaster griff VerdantBamboo wiederholt über IP-Adressen zu, die über die Web-SSL-VPN-Infrastruktur der betroffenen Organisation zugewiesen waren. Auf dem kompromittierten Egnyte-Storage-Sync-System nutzten die Angreifer demnach die Proxy-Funktionen der Malware zusammen mit kompromittierten Zugangsdaten, um die Microsoft-365-Umgebung des Opfers zu erreichen.
Volexity geht davon aus, dass dieses Vorgehen dazu diente, im legitimen Datenverkehr unterzugehen und Kontrollen durch Richtlinien für bedingten Zugriff zu entgehen. Der ursprüngliche Einbruch soll dabei mindestens 18 Monate zuvor erfolgt sein. Die für die Kompromittierung genutzte lokale Rechteausweitung wurde laut Bericht mit Storage Sync Version 13.13 geschlossen, die Egnyte im März 2026 veröffentlichte.
Nach ersten Gegenmaßnahmen kehrte VerdantBamboo nach Darstellung von Volexity zurück. Die Gruppe verschaffte sich demnach mit gestohlenen Administrationszugängen erneut Zugriff auf dieselbe Organisation, verband sich mit der Firewall und richtete darüber Web-SSL-VPN-Zugriff auf das Gerät ein. Anschließend bewegten sich die Angreifer weiter auf andere Systeme und spielten zusätzliche Malware auf eine Synology-NAS-Appliance ein.
Die weitere Analyse zeigte laut Volexity zudem, dass nicht nur die betroffene Organisation selbst kompromittiert war. Auch der Managed Services Provider des Opfers sei infiltriert worden. Konkret habe der Angreifer ungefähr zur selben Zeit die pfSense-Firewall des Dienstleisters mit einer BSD-Variante von BRICKSTORM infiziert, in der auch das Storage-Sync-System des Opfers kompromittiert wurde. Volexity hält es für wahrscheinlich, dass der Zugriff auf das Opfer über diesen Einbruch beim MSP erfolgte.
Die auf die NAS-Appliance per SSH übertragenen zusätzlichen Schadprogramme waren PLENET und AGENTPSD. PLENET war bereits zuvor im Zusammenhang mit realen Angriffen aufgefallen: Google meldete Anfang Februar dessen Einsatz durch das mutmaßlich ebenfalls China-nahe Cluster UNC6201. Diese Angriffe nutzten laut Google die Schwachstelle CVE-2026-22769 in Dell RecoverPoint for Virtual Machines mit einem CVSS-Wert von 10,0 seit Mitte 2024 als Zero-Day aus.
Volexity beschreibt VerdantBamboo als hochentwickelten Akteur, der eine Kombination aus Living-off-the-Land-Techniken und Schadsoftware auf Systemen einsetzt, auf denen EDR-Software traditionell nicht läuft oder nicht laufen kann. Zudem besitze die Gruppe offenbar gute Kenntnisse proprietärer Appliances und könne Malware mit angepassten Persistenzmechanismen ausbringen. Auch bei der operativen Sicherheit gehe sie diszipliniert vor, indem sie pro Opfer nur eine begrenzte Zahl von Domains und IP-Adressen nutze und Implantat-Namen sowie Persistenz individuell pro Gerät anpasse.