Volexity は2026年6月、中国系のサイバースパイ活動グループ VerdantBamboo が Linux システムを標的に、バックドア BRICKSTORM の BSD 変種、PLENET(別名 GRIMBOLT)、AGENTPSD を展開したと報告した。
VerdantBamboo は Clay Typhoon(Microsoft)、UNC5221(Google)、Warp Panda(CrowdStrike)と重複するとされる。侵入は2025年9月のインシデント対応で発見された。攻撃者は窃取した認証情報で Egnyte Storage Sync に SSH 接続したうえで、sudo 設定の不備によるローカル権限昇格を悪用して BRICKSTORM を配置・実行し、Microsoft 365 環境にアクセスした。
当該の権限昇格の問題は2026年3月の Storage Sync バージョン13.13で修正された。アプライアンスやエッジ機器への初期侵害は少なくとも18か月前に発生した。攻撃者は被害組織のマネージドサービスプロバイダーの pfSense ファイアウォールも侵害し、Synology の NAS に SSH 経由でマルウェアを展開した。
PLENET は2026年2月、Google が UNC6201 による Dell RecoverPoint for Virtual Machines の脆弱性(CVE-2026-22769、CVSS 10.0)悪用に関連して報告していた。
From: 
VerdantBamboo Deploys BSD Variant of BRICKSTORM on Linux Appliances
【編集部解説】
今回の事案で最初に注目していただきたいのは、攻撃の「入り口」が一般的なパソコンやサーバーではなく、ファイアウォールやストレージ同期装置、NAS といった「アプライアンス」だった点です。これらは企業ネットワークの境界や基盤を支える専用機器でありながら、端末の挙動を継続的に監視して脅威を検知・対応する EDR(Endpoint Detection and Response)を導入できない、あるいは導入されていないことが多い機器です。
VerdantBamboo は、まさにその「監視の死角」を狙いました。Volexity の一次レポートによれば、攻撃の中核を担う BRICKSTORM は主に Golang で書かれたバックドアで(一部の変種では Rust も確認されています)、機器ごとに構成を作り替えられるモジュール構造を持ちます。今回 pfSense(FreeBSD 上で動くファイアウォール)に展開された変種は、gobfuscate という難読化ツールで偽装され、cron という定期実行の仕組みに登録することで居座り続けていました。
ここで誤解しやすい点を補っておきます。攻撃者は脆弱性そのものを初期侵入の突破口にしたわけではありません。窃取した認証情報で Egnyte Storage Sync に SSH 接続したうえで、sudo 設定の不備によるローカル権限昇格を悪用し、BRICKSTORM を配置・実行していました。つまり権限昇格は、侵入後に権限を引き上げて居座るために使われたものです。
この手口の巧妙さは、「正規の通信になりすます」ことにあります。攻撃者は被害組織の SSL VPN に割り当てられた IP アドレス経由でアクセスし、窃取した認証情報と組み合わせて Microsoft 365 環境に入り込みました。社内の正規利用に見えるため、不審なログインを弾くはずの「条件付きアクセス」も素通りしてしまったのです。
影響範囲の広さも見逃せません。直接の被害者だけでなく、その IT 運用を委託されていた MSP(マネージドサービスプロバイダー)も侵害されていました。Volexity は「MSP 経由で被害組織に侵入した可能性が高い」と評価していますが、これはあくまで中程度の確信度(medium confidence)であり、断定ではない点は正確に押さえておくべきところです。一社を踏み台に、その顧客企業群へ連鎖的に被害が及ぶ「サプライチェーン型」の構図がここにあります。
そしてもう一つ、本事案の本質を象徴するのが「少なくとも18か月」という潜伏期間です。ここで正確を期すと、18か月という長期にわたって侵害が確認されているのは主にアプライアンスやエッジ機器であり、Microsoft 365 へはそこを足がかりにアクセスしたという関係になります。派手にデータを破壊するのではなく、長期にわたって静かに居座り情報を抜き続ける——これは金銭目的のランサムウェアとは異なる、国家を背景にしたスパイ活動に典型的な行動様式といえます。
規制や防御の観点では、エッジ機器の可視化が大きな課題として浮かび上がります。EDR が及ばない領域をどう監視するか、委託先である MSP のセキュリティ水準をどう担保するかは、今後の企業統制やサプライチェーンに関する規制議論にも波及していくテーマでしょう。
長期的に見れば、この事案は「守るべき対象」の再定義を私たちに迫っています。攻撃者がネットワークの周縁にある専用機器を熟知し、そこに合わせたマルウェアを用意してくる時代に、境界の内側だけを守る発想はもはや通用しません。エッジを含めたネットワーク全体を「侵害されている前提」で監視・検証する設計思想が、これからの標準になっていくと考えられます。
なお、一部の海外メディアは見出しで攻撃グループを「UNC5221」と単一視していますが、Volexity は VerdantBamboo を複数社の呼称と「重複(overlaps)」する独自クラスターとして扱っており、元記事の慎重な書き方のほうが正確です。
【用語解説】
BRICKSTORM
中国系の攻撃グループが用いる、公開済みに文書化されたバックドア(裏口)型マルウェアである。主に Golang で書かれ(一部の変種では Rust も確認されている)、機器ごとに構成を作り替えられるモジュール構造を持つ。vSphere 基盤や各種アプライアンス向けの専用変種が存在し、今回は FreeBSD 互換の変種が確認された。
PLENET(別名 GRIMBOLT)
.NET Core を用いて開発されたクロスプラットフォーム型のバックドアである。ネイティブの事前(AOT)コンパイルで生成され、対話型シェル、リモートコマンド実行、ファイル操作、C2サーバーの切り替えに対応する。
AGENTPSD
Python で書かれたリバースシェルである。主要なマルウェアが機能を停止した場合の予備(フォールバック)として機能するとみられる。
BSD 変種/FreeBSD
BSD は UNIX 系のオペレーティングシステム群の総称で、FreeBSD はその代表格である。ファイアウォール製品 pfSense は FreeBSD 上で動作するため、攻撃者はこの環境専用に作り込んだ BRICKSTORM を用意していた。
アプライアンス
特定の機能に特化した専用機器のことである。ファイアウォール、ストレージ同期装置、NAS(ネットワーク接続ストレージ)などが該当する。EDR を導入できない場合が多く、監視の死角になりやすい。
EDR(Endpoint Detection and Response)
従来型のウイルス対策よりも広く、端末上の挙動や通信などのテレメトリを継続的に監視し、検知・調査・対応を行う仕組みである。今回の攻撃は、この EDR が動作しない/動作させられない機器を狙って行われた。
SSL VPN
暗号化通信を用いて社外から社内ネットワークへ安全に接続する仕組みである。今回は窃取された認証情報と組み合わせて悪用された。
Living-off-the-Land(環境寄生型)
標的環境に元から存在する正規のツールや機能を悪用し、専用マルウェアの痕跡を減らして検知を逃れる攻撃手法である。
MSP(マネージドサービスプロバイダー)
企業の IT 運用・保守を代行する事業者である。一社が侵害されると、その顧客企業群へ被害が連鎖しやすい。
UNC5221 / Clay Typhoon / Warp Panda
今回の攻撃グループ VerdantBamboo と重複するとされる呼称である。それぞれ Google、Microsoft、CrowdStrike が独自に付与した追跡名である。
【参考リンク】
Volexity(公式サイト)(外部)
本事案を調査・報告した米バージニア州レストン拠点のセキュリティ企業。メモリフォレンジックを強みとする。
Egnyte(公式サイト)(外部)
今回侵害された Storage Sync を提供する米国のクラウドコンテンツ管理企業である。
pfSense(公式サイト)(外部)
FreeBSD ベースのオープンソース・ファイアウォール。BRICKSTORM の BSD 変種が仕込まれていた。
Synology(公式サイト)(外部)
NAS 製品を手がける台湾の企業。攻撃者が SSH 経由で追加マルウェアを展開した機器の製造元。
Microsoft 365(公式サイト)(外部)
攻撃者が窃取した認証情報を用いてアクセスした、Microsoft のクラウド型業務スイートである。
Dell RecoverPoint for Virtual Machines(公式サイト)(外部)
PLENET 関連攻撃でゼロデイ脆弱性(CVE-2026-22769)が悪用された Dell の製品である。
【参考記事】
VerdantBamboo: Just Another BRICKSTORM in the Firewall(Volexity)(外部)
本事案の一次レポート。pfSense が複数攻撃者に侵害され、MSP からの侵入経路は中程度の確信度であると示す。
Chinese APT VerdantBamboo Uses BRICKSTORM Malware(Cyber Security News)(外部)
FreeBSD 互換変種が gobfuscate で難読化され、cron 改変で自動実行された手口を詳述している。
Chinese APT deploys new malware to keep access to hacked networks(BleepingComputer)(外部)
pfSense も18か月前に侵害され、退役した Linux サーバーにも BRICKSTORM が展開されたと報じる。
Chinese Threat Group Hid Inside Microsoft 365 Networks for 18 Months(IBTimes Singapore)(外部)
攻撃グループが Microsoft 365 環境へ長期にアクセスし続けた点を中心に報じている。
VerdantBamboo APT Uses BRICKSTORM Malware in Attacks on Network Appliances(Cyber Press)(外部)
権限昇格の悪用経緯と、cron 改変による永続化の手口を技術的に補足している。
【関連記事】
BRICKSTORMマルウェア:UNC5221がエッジ/ネットワーク機器で平均約1年の長期潜伏を継続
今回のVerdantBambooと重複するUNC5221による、BRICKSTORMの長期潜伏キャンペーン(Google GTIG報告)を扱った記事。
【編集部後記】
「うちには狙われるような情報はない」——そう感じる方は少なくないかもしれません。けれども今回の事案が示しているのは、攻撃者にとっての価値は、必ずしも保管しているデータそのものだけにあるわけではない、ということです。ファイアウォールや NAS は、それ自体が「次のどこかへ向かうための足場」になりえます。みなさんの周りにある機器を、攻撃者の視点から眺め直してみると、これまで見えていなかった景色が浮かんでくるかもしれません。私たちもその問いを携えながら、これからの「守り方」を一緒に追いかけていきたいと思います。
