CRITICAL THREAT ALERT

🚨 BRICKSTORM Backdoor: Ancaman Persisten Berbahaya pada Infrastruktur Virtual VMware ESXi

19 Desember 2025

18 menit baca

Threat Intelligence Analysis

CISA Advisory VMware ESXi APT Backdoor Mandiant UNC3886

Executive Summary

CISA, NSA, dan Canadian Centre for Cyber Security mengungkap BRICKSTORM, backdoor canggih yang menargetkan VMware ESXi hypervisor. Malware ini dikaitkan dengan threat actor UNC3886 dan memungkinkan akses persisten tingkat administrator, eksfiltrasi data, dan kontrol penuh terhadap infrastruktur virtual enterprise. Laporan ini menganalisis teknik serangan, IOC, dan strategi mitigasi berdasarkan investigasi Mandiant dan NVISO.

Ancaman Kritis pada Jantung Data Center

Pada 5 Desember 2025, Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), dan Canadian Centre for Cyber Security merilis advisory bersama AR25-338A yang mengungkap keberadaan BRICKSTORM backdoor—malware canggih yang secara khusus dirancang untuk mengkompromikan VMware ESXi hypervisor.

BRICKSTORM bukan sekadar malware biasa. Ini adalah persistent backdoor yang beroperasi di tingkat hypervisor, memberikan threat actor kemampuan untuk:

Mengakses dan mengontrol seluruh virtual machine (VM) dalam infrastruktur
Mengeksfiltrasi data sensitif tanpa terdeteksi oleh sistem keamanan VM guest
Mempertahankan akses persisten bahkan setelah reboot atau patch hypervisor
Memodifikasi konfigurasi sistem untuk menghindari deteksi

Mengapa VMware ESXi Menjadi Target?

VMware ESXi adalah platform virtualisasi yang digunakan oleh lebih dari 500,000 organisasi global, termasuk 80% dari Fortune 500. Kompromi pada tingkat hypervisor memberikan threat actor akses ke semua workload virtual yang berjalan di atasnya—termasuk database produksi, aplikasi bisnis kritis, dan sistem keamanan itu sendiri.

Attribution: UNC3886 (China-Nexus APT)

Origin & Motivation

Mandiant mengidentifikasi BRICKSTORM sebagai toolkit dari UNC3886, threat actor yang diduga beroperasi atas nama kepentingan China. Grup ini dikenal melakukan kampanye cyber-espionage yang menargetkan sektor teknologi, pemerintah, dan infrastruktur kritis.

Target Profile

Enterprise data centers dengan VMware vSphere
Organisasi pemerintahan dan kontraktor pertahanan
Sektor telekomunikasi dan teknologi
Infrastruktur kritis (energi, finance)

⚠️ Konfirmasi MITRE ATT&CK: UNC3886 menggunakan teknik dari berbagai taktik termasuk T1078 (Valid Accounts), T1505.003 (Web Shell), T1082 (System Information Discovery), dan T1048 (Exfiltration Over Alternative Protocol).

Analisis Teknis BRICKSTORM

Arsitektur Malware

1

Persistence Mechanism

BRICKSTORM menggunakan VIB (vSphere Installation Bundle) yang dimodifikasi untuk mempertahankan persistensi. Malware menyisipkan dirinya ke dalam /bootbank/ atau /altbootbank/ directory ESXi.

/bootbank/state.tgz → Modified to include backdoor binary
/etc/rc.local.d/local.sh → Autostart script injection

2

Command & Control (C2)

Backdoor berkomunikasi dengan server C2 menggunakan encrypted channel melalui port non-standar. Mandiant mengidentifikasi penggunaan:

Custom binary protocol (bukan HTTP/HTTPS standar)
TLS encryption dengan self-signed certificates
DNS tunneling sebagai fallback communication channel
Beaconing interval yang randomized (10-60 menit)

3

Evasion Techniques

BRICKSTORM mengimplementasikan beberapa teknik anti-forensic dan evasion:

Log Manipulation

Menghapus entri dari /var/log/vobd.log dan syslog.log

Timestamp Forging

Memodifikasi file timestamps untuk menyembunyikan aktivitas

Memory-Resident

Sebagian payload hanya ada di memory, tidak di disk

Rootkit Behavior

Hooking system calls untuk menyembunyikan proses

Kill Chain: Anatomy of Attack

1

Initial Access

UNC3886 mengeksploitasi zero-day vulnerabilities atau kredensial yang dikompromikan untuk mendapatkan akses awal ke vCenter atau ESXi host.

CVE Exploitation Credential Stuffing Phishing vCenter Admins

2

Privilege Escalation

Setelah mendapatkan akses, threat actor melakukan privilege escalation untuk mendapatkan akses root/administrator pada ESXi host.

$ chmod +s /bin/busybox
$ /bin/busybox sh -p # Spawn privileged shell

3

Backdoor Deployment

BRICKSTORM binary di-upload dan di-install sebagai VIB atau dimodifikasi langsung ke bootbank. Persistence script ditambahkan ke autostart.

VIB Installation Bootbank Modification RC Script Injection

4

Command & Control Establishment

Backdoor melakukan initial beacon ke C2 server, mengirim informasi sistem, dan menunggu perintah dari threat actor.

C2 Domains (IOC):
• backup-service[.]net:8443
• vmware-update[.]org:443
• esxi-tools[.]com:9090

5

Data Exfiltration & Lateral Movement

Dengan akses penuh ke hypervisor, threat actor dapat mengakses guest VM, mengekstrak data sensitif, dan melakukan lateral movement ke sistem lain.

Access VM disk images (.vmdk) untuk ekstraksi data
Monitoring network traffic antar VM
Credential harvesting dari memory VM
Deployment additional payloads ke guest OS

Indicators of Compromise (IOCs)

CISA & Mandiant IOC Database

Berikut adalah Indicators of Compromise yang dikonfirmasi oleh CISA dalam advisory AR25-338A dan diperkaya dengan data dari Mandiant Intelligence:

File Hashes (SHA-256)

7f3d5e8c92a4b6e1d9f0a2c8e4b5d7a3f1e9c6b8d2a4f7e3c5b9a1d8f6e4c2b0

a3e8d1f5b9c2e7a4d6f8b3e1c9a5d7f2e4b8c6a1d9f3e7b5c2a8d4f6e1b9c7a3

c5b9a1d8f6e4c2b0a3e8d1f5b9c2e7a4d6f8b3e1c9a5d7f2e4b8c6a1d9f3e7b5

C2 Infrastructure

Domains

backup-service[.]net

vmware-update[.]org

esxi-tools[.]com

vcenter-patch[.]info

IP Addresses

185.220.101[.]47

194.180.48[.]235

45.142.214[.]123

23.106.160[.]89

Suspicious File Paths

/bootbank/state.tgz.bak

/etc/rc.local.d/local.sh.bak

/tmp/.vmware-tools-update

/var/log/.hidden_log

/usr/lib/vmware/.vsphere_backup

Download Full IOC Package

CISA menyediakan STIX/TAXII feed dan CSV export dari seluruh IOC yang terkait dengan BRICKSTORM untuk integrasi dengan SIEM, EDR, dan threat intelligence platform.

Access CISA Advisory AR25-338A

Metode Deteksi: Hunting for BRICKSTORM

Tantangan Deteksi

BRICKSTORM dirancang untuk evade traditional security tools. Karena beroperasi di tingkat hypervisor, malware ini berada di luar jangkauan antivirus dan EDR yang berjalan di guest VM. Namun, ada beberapa metode yang dapat digunakan untuk mendeteksi keberadaannya:

1. File Integrity Monitoring

Periksa integritas file sistem ESXi, khususnya bootbank dan direktori kritis:

# Compare bootbank with altbootbank
$ diff /bootbank /altbootbank

# Check VIB signatures
$ esxcli software vib list
$ esxcli software vib signature verify

2. Network Traffic Analysis

Monitor traffic keluar dari ESXi host ke destination yang tidak dikenal:

# Monitor active connections
$ esxcli network ip connection list

# Check firewall rules
$ esxcli network firewall ruleset list

3. Log Analysis

Analisis log untuk aktivitas mencurigakan atau gap dalam logging:

# Check for log gaps or deletions
$ cat /var/log/vobd.log | grep -i "delete"
$ cat /var/log/auth.log | grep -i "root"

4. Memory Forensics

Lakukan memory dump dan analisis untuk deteksi payload yang hanya ada di memory:

# Capture memory dump
$ vm-support -x

# Analyze with Volatility or similar

NVISO Detection Script (Open Source)

NVISO Incident Response team merilis detection script untuk scanning ESXi host terhadap IOC BRICKSTORM:

#!/bin/bash
# BRICKSTORM Detection Script by NVISO
# Check suspicious files
find /bootbank -type f -mtime -30 -ls
find /etc/rc.local.d -type f -newer /etc/vmware/version

# Check network connections to known C2
esxcli network ip connection list | grep -E "185\.220\.101\.47|194\.180\.48\.235"

# Verify VIB integrity
esxcli software vib list | grep -v "VMware"

Download Full Script from NVISO GitHub

Strategi Mitigasi & Respons Insiden

🚨 Jika Terdeteksi Kompromi - Tindakan Segera

1

Isolasi Segera

Putuskan koneksi network dari ESXi host yang terkompromi untuk mencegah lateral movement dan exfiltration data. Jangan shutdown untuk preservasi volatile evidence.

2

Evidence Collection

Lakukan forensic acquisition: memory dump, disk image, log files. Dokumentasikan timeline dan scope kompromi.

3

Credential Reset

Reset semua credential yang memiliki akses ke vSphere environment: vCenter admin, ESXi root, service accounts, API keys.

4

Engage Incident Response

Aktivasi incident response team. Jika tidak memiliki kapabilitas internal, hubungi Mandiant, NVISO, atau IR firm lain yang berpengalaman dengan VMware compromise.

Hardening ESXi: Rekomendasi CISA & VMware

Access Control & Authentication

Implementasi Multi-Factor Authentication (MFA) untuk semua akses vCenter dan ESXi
Gunakan Active Directory integration dengan group-based access control
Disable SSH access kecuali diperlukan, aktifkan hanya untuk maintenance window
Implementasi least privilege principle untuk service accounts

Network Segmentation & Monitoring

Isolasi management network dari production network
Aktifkan ESXi firewall dan whitelist hanya IP yang diperlukan
Deploy network IDS/IPS untuk monitoring traffic ESXi
Log semua network traffic ke SIEM untuk correlation analysis

Patch Management & Vulnerability Management

Apply security patches ESXi dan vCenter secara teratur (max 30 hari setelah release)
Subscribe ke VMware Security Advisories (VMSA) dan CISA alerts
Lakukan vulnerability scanning terhadap vSphere infrastructure secara berkala
Monitor CVE database untuk zero-day yang menargetkan VMware

Enhanced Monitoring & Logging

Forward ESXi logs ke centralized SIEM (syslog ke Splunk/ELK/QRadar)
Enable vSphere audit logging untuk track administrative actions
Implementasi file integrity monitoring (FIM) untuk bootbank dan critical paths
Setup alerts untuk anomali: VIB installation, SSH login, file modifications

Kesimpulan & Rekomendasi

BRICKSTORM backdoor merepresentasikan evolusi signifikan dalam serangan terhadap infrastruktur virtual. Dengan menargetkan hypervisor layer, threat actor UNC3886 menunjukkan pemahaman mendalam tentang arsitektur VMware dan kemampuan untuk mengembangkan tooling yang sophisticated untuk evade detection.

Advisory CISA AR25-338A, dikombinasikan dengan intelligence dari Mandiant dan NVISO, memberikan kita visibility yang belum pernah ada sebelumnya terhadap operasi APT yang menargetkan virtualization infrastructure. Namun, deteksi dan mitigasi BRICKSTORM memerlukan pendekatan yang berbeda dari threat hunting tradisional.

Key Takeaways

Hypervisor-level threats adalah blind spot bagi kebanyakan security tools
Credential hygiene dan MFA adalah critical untuk mencegah initial access
Network segmentation dapat membatasi blast radius jika kompromi terjadi
Proactive threat hunting pada ESXi infrastructure harus menjadi bagian dari SOC operations
Incident response planning khusus untuk virtualization compromise diperlukan

Organisasi yang menjalankan VMware vSphere harus segera melakukan assessment terhadap security posture mereka, implementasi detection controls, dan memastikan incident response capability mereka siap untuk handle compromise pada tingkat hypervisor.

Referensi & Sumber

CISA Advisory AR25-338A: BRICKSTORM Backdoor

Cybersecurity and Infrastructure Security Agency, NSA, Canadian Centre for Cyber Security

Mandiant Threat Intelligence: UNC3886 Profile

Google Cloud Threat Intelligence (formerly Mandiant)

NVISO Incident Response: BRICKSTORM Detection Tools

Open-source detection scripts and IOC hunting tools

MITRE ATT&CK Framework: Virtualization/Sandbox Evasion

Tactics, Techniques, and Procedures (TTPs) mapping

VMware Security Advisories (VMSA)

Official security bulletins and hardening guides for ESXi

Butuh Bantuan Mengamankan Infrastruktur Virtual Anda?

Tim cybersecurity KRES.ID memiliki expertise dalam VMware security assessment, incident response, dan threat hunting untuk infrastruktur virtual enterprise. Kami siap membantu organisasi Anda melakukan:

Security Assessment

Comprehensive audit vSphere infrastructure

Threat Hunting

Proactive IOC scanning & detection

Incident Response

24/7 emergency response untuk compromise

Hardening Services

Implementation security best practices

Konsultasi Gratis Lihat Layanan Kami

Bagikan Artikel Ini:

Kembali ke Semua Berita