BRICKSTORM, le backdoor de la campagne Verdant Bamboo, vient d’être identifié comme l’outil d’un accès persistant de plus de 18 mois sur des appliances Linux exposées chez Egnyte, pfSense et Synology. Pour les PME-ETI, ce dossier n’est pas un fait divers chinois lointain : c’est le signal qu’un attaquant peut s’installer durablement sur la couche réseau que personne ne supervise. BRICKSTORM illustre le glissement silencieux du périmètre vers les appliances oubliées — et impose de revoir la posture défensive autour d’elles.
BRICKSTORM : anatomie d’une persistance de 18 mois
Selon les travaux de Mandiant relayés par The Hacker News, le cluster Verdant Bamboo, lié à un acteur chinois, déploie un variant BSD du backdoor BRICKSTORM directement sur les appliances : pare-feu pfSense, NAS Synology, plateformes Egnyte de partage de fichiers. La persistance dépasse les 18 mois avant détection, parce que ces équipements vivent en dehors des outils EDR habituels et n’envoient quasiment aucun log SIEM utile.
L’enchaînement est aujourd’hui industriel :
- compromission initiale via une vulnérabilité non corrigée sur l’interface d’administration exposée ;
- dépose de BRICKSTORM en variant BSD, conçu pour résister au reboot et survivre aux mises à jour mineures ;
- établissement d’un tunnel C2 chiffré qui se fond dans le trafic légitime de l’appliance ;
- collecte lente de credentials et de fichiers à valeur stratégique, sans pic de bande passante détectable.
Pourquoi les appliances réseau sont devenues la cible préférée
La leçon stratégique de BRICKSTORM dépasse le seul acteur Verdant Bamboo. Trois constats structurent désormais le risque sur les appliances :
Un angle mort EDR persistant
Les pare-feu, NAS et passerelles SaaS n’acceptent généralement pas d’agent endpoint. Ils sont audités à la livraison, puis oubliés. Un attaquant qui s’y installe profite d’un environnement non monitoré, non patché et non journalisé vers le SIEM.
Une surface d’attaque qui croît plus vite que la maintenance
Synology, pfSense, Egnyte, Fortinet, Cisco SD-WAN — chaque trimestre apporte son lot de CVE critiques sur des produits déployés en façade Internet. Le rythme de patch interne d’une PME-ETI n’arrive plus à suivre, comme l’a déjà montré le dossier Cisco SD-WAN CVE-2026-20245.
Un cycle d’attaque calé sur la durée, pas sur l’instant
Là où le ransomware classique cherchait la rentabilité immédiate, Verdant Bamboo joue la patience. Le backdoor reste silencieux des mois, exfiltre par paquets, et n’active sa charge que le jour où le contexte business le justifie. C’est le même paradigme que les vers agentiques IA : la patience est devenue une arme.
Plan d’action concret pour les PME-ETI
Face à BRICKSTORM et aux backdoors d’appliance, la posture défensive doit changer de mode. Voici les chantiers à ouvrir sans attendre :
- Cartographier les appliances en façade Internet : pare-feu, VPN, NAS, passerelles SaaS, contrôleurs SD-WAN. Toute appliance non identifiée est par définition non supervisée.
- Imposer un cycle de patch trimestriel forcé sur ces équipements, avec validation par un tiers — le mainteneur ne suffit plus.
- Désactiver l’interface d’administration sur l’IP publique. Tout accès admin doit transiter par un VPN, idéalement avec MFA matériel.
- Exporter les logs vers un SIEM tiers (Wazuh, Elastic, agentic SOC). Une appliance qui ne logge que localement est une boîte noire pour l’attaquant.
- Ajouter une supervision réseau Zeek/Suricata en amont des appliances. C’est souvent là que la trace du tunnel C2 BRICKSTORM apparaît, pas sur l’appliance elle-même.
- Auditer les credentials stockés sur les appliances (comptes de service, API keys vers les outils SaaS), et les considérer comme compromis dès qu’une CVE critique tombe sur le produit.
Ce que change BRICKSTORM pour la stratégie cyber PME-ETI
L’enseignement stratégique est clair : la défense ne peut plus reposer sur la confiance implicite que l’on accorde aux appliances réseau. BRICKSTORM et Verdant Bamboo démontrent qu’un acteur étatique peut transformer un NAS oublié en pivot de surveillance industrielle pendant plus d’un an, sans alerte SIEM. Pour les PME-ETI, c’est l’occasion d’élever le niveau de maturité : inventaire exhaustif, supervision réseau dédiée, et intégration des appliances dans le périmètre de l’agentic SOC ucyber.ai. Le périmètre n’est plus une carte : c’est un graphe de confiance qu’il faut auditer en continu.