PRC espionaje Brickstorm infiltró redes críticas de EE. UU.

Una operación de ciberespionaje de alto sigilo, atribuida a actores vinculados a la República Popular China, mantuvo durante años acceso persistente a infraestructuras críticas en Estados Unidos, según un aviso conjunto de CISA, la NSA y el Centro Canadiense de Ciberseguridad. La campaña, identificada como PRC espionaje Brickstorm, comprometió entornos gubernamentales y de TI con un impacto transversal en plataformas empresariales clave.

Las agencias describen un patrón de intrusión sostenida con backdoors y técnicas avanzadas de evasión. Aunque no hay una atribución oficial única, la escala sugiere decenas de organizaciones afectadas; al menos ocho servicios gubernamentales y compañías de TI habrían sido objetivo, de acuerdo con los análisis divulgados.

PRC espionaje Brickstorm: alcance y técnicas

Brickstorm opera de forma multiplataforma en Linux, VMware y Windows, priorizando la persistencia, el movimiento lateral y la exfiltración. En intrusiones confirmadas, los operadores accedieron a dos controladores de dominio y a un servidor ADFS para obtener claves criptográficas y expandir su radio de acción sin detección temprana.

Infraestructura afectada

• VMware y hipervisores como pivote para el movimiento lateral y acceso a cargas críticas.
• Active Directory y ADFS para robo de credenciales y claves de firma.
• Microsoft Azure y Microsoft 365 como objetivos de alcance a datos en la nube.
• Obtención de tokens de sesión y tunelización de tráfico para mantener acceso.
• Módulos de evasión para reducir la visibilidad ante soluciones tradicionales.

Analistas señalan que PRC espionaje Brickstorm emplea artefactos personalizados por víctima, dificultando la detección basada en firmas. La combinación de robo de credenciales y tokens multiplica el riesgo de escalamiento en dominios híbridos y escenarios multicloud.

Atribución y escala de PRC espionaje Brickstorm

Mandiant asocia parte de la actividad a UNC5221, mientras que CrowdStrike la conecta con Warp Panda, operativo al menos desde 2022 con intrusiones sobre entornos VMware en sectores legal, tecnológico y manufacturero. Google Threat Analysis Group estima que decenas de organizaciones en EE. UU. podrían haber sido impactadas por la misma campaña.

Sin embargo, las agencias mantienen cautela en la atribución formal y enfatizan el dwell time prolongado observado por equipos como Unit 42 de Palo Alto Networks. La evolución constante de herramientas y TTPs sugiere un marco operativo refinado y orientado a la persistencia estratégica.

Riesgo sistémico y respuesta a PRC espionaje Brickstorm

El foco en VMware, Active Directory/ADFS y Azure expone el tejido tecnológico que sostiene servicios públicos, operaciones gubernamentales y empresas de alto valor. Por lo tanto, la campaña amplifica el riesgo operativo y de fuga de datos en entornos on‑prem y cloud, con potencial de disrupción lateral en cadenas de suministro digitales.

CISA publicó avisos de ciberseguridad y coordinación con socios federales para compartir indicadores y tácticas observadas, mientras Google Threat Analysis Group y otras firmas amplían la visibilidad de la amenaza. Documentación oficial de CISA y análisis de Google Threat Analysis Group contextualizan el alcance y la persistencia del actor.

En el corto plazo, la expectativa del sector apunta a nuevas revelaciones técnicas, más víctimas identificadas y continuidad en la investigación interagencial sobre PRC espionaje Brickstorm, con especial atención a la explotación de identidades, federación y plataformas de virtualización.