Brickstorm Malware compromete servidores VMware vCenter

El 4 de diciembre del 2025, la agencia de ciberseguridad y seguridad de infraestructura (CISA) publicó un análisis del malware Brickstorm que actúa como una puerta trasera permitiendo acceder a un sistema de forma no autenticada, remota y persistente. Se ha observado a un grupo chino de hackers conocidos como Warp Panda usar este malware para comprometer sistemas VMware vSphere y entornos Windows de organizaciones de la industria de tecnología y gobierno.

Este malware usa diferentes protocolos como HTTPS, WebSockets y TLS para garantizar la comunicación, DNS-over-HTTPS (DoH) para pasar desapercibido en el tráfico normal, SOCKS proxy para facilitar el movimiento lateral, SFTP para mover información entre equipos, y una función de automonitoreo que permite la instalación y reinicio automático del malware en caso de una interrupción para mantener persistencia.

Desde 2024, el grupo Warp Panda ha podido acceder a servidores web que se encuentran dentro de una red perimetral (DMZ) usando el protocolo de escritorio remoto (RDP), obteniendo asi información de Active Directory y credenciales MSP para llegar al servidor VMware vCenter y ejecutar el malware Brickstorm.

Warp Panda ha destacado por sus habilidades avanzadas de seguridad de operaciones (OPSEC) y amplio conocimiento en entornos de nube y maquinas virtuales, obteniendo acceso inicial principalmente explotando diferentes vulnerabilidades:
 

CVE	Descripción	Versiones afectadas	Versiones parcheadas
CVE-2024-21887	Vulnerabilidad de inyección de comandos en los componentes web de Ivanti Connect Secure.	Ivanti ICS e Ivanti IPS  versiones 9.1R18 y 22.6R2	KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
CVE-2023-46805	Vulnerabilidad de evasión de autenticación en el componente web de Ivanti ICS e Ivanti Policy Secure.
CVE-2024-38812	Vulnerabilidad de desbordamiento de montón en la implementación del protocolo DCERPC en vCenter Server.	VMware vCenter Server versiones de la 7.0 a la anterior a 7.0 U3s, y de la 8.0 a la anterior a 8.0 U3b.	VMware vCenter Server versiones 8.0 U3d, 8.0 U3d y 7.0 U3t.
CVE-2023-34048	Vulnerabilidad de escritura fuera de límites en la implementación del protocolo DCERPC en vCenter Server.	VMware vCenter Server versiones de la 7.0 a la anterior a 7.0 U3o, y de la 8.0 a la anterior a 8.0 U2.	VMware vCenter Server versiones 7.0 U3o y 8.0 U2.
CVE-2021-22005	Vulnerabilidad arbitraria al subir archivos en el servicio de Analítica de vCenter Server. Un actor malicioso con acceso a la red al puerto 443 en vCenter Server podría explotarla.	VMware vCenter Server versiones de la 7.x antes del 7.0 U2c y del 6.7 antes del 6.7 U3o.	VMware vCenter Server versiones 7.0 U2c y 6.7 U3o.
CVE-2023-46747	Vulnerabilidad en la cual las solicitudes no reveladas pueden eludir la autenticación de la utilidad de configuración, permitiendo que un atacante con acceso de red al sistema BIG-IP a través del puerto de gestión y/o direcciones IP propias ejecute comandos arbitrarios.	F5 BIG-IP versiones 17.1.0 y anteriores	BIG-IP Configuration utility unauthenticated remote code execution vulnerability CVE-2023-46747

 

Recomendaciones

• En caso de contar con alguna de las versiones afectadas por la vulnerabilidad siga las recomendaciones y actualice a las versiones parcheadas.
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

Referencias

1. CISA. (2025, Diciembre 04). CISA, NSA and Cyber Centre Warn Critical Infrastructure of BRICKSTORM Malware Used by People’s Republic of China State-Sponsored Actors. https://www.cisa.gov/news-events/news/cisa-nsa-and-cyber-centre-warn-critical-infrastructure-brickstorm-malware-used-peoples-republic
2. Lakshmanan, R. (2025, Diciembre 05). CISA Reports PRC Hackers Using BRICKSTORM for Long-Term Access in U.S. Systems. The Hacker News. Recuperado el 05 de diciembre de 2025, en: https://thehackernews.com/2025/12/cisa-reports-prc-hackers-using.html
3. Gatlan, S. (2025, Diciembre 04). CISA warns of Chinese "BrickStorm" malware attacks on VMware servers. Bleeping Computer. Recuperado el 05 de diciembre de 2025, en: https://www.bleepingcomputer.com/news/security/cisa-warns-of-chinese-brickstorm-malware-attacks-on-vmware-servers/
4. Kathir, M. (2025, Diciembre 05). China-Nexus Hackers Target VMware vCenter Systems to Deploy Web Shells and Malware Implants. GbHackers. Recuperado el 05 de diciembre de 2025, en: https://gbhackers.com/vmware-vcenter-systems/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios