Warp Panda ligado à China mira empresas norte-americanas em campo de espionagem – Against Invaders

Warp Panda ligado à China mira empresas norte-americanas em campo de espionagem - Against Invaders

A CrowdStrike identificou uma campanha sofisticada de ciberespionagem da Warp Panda, que tem como alvo empresas jurídicas, de tecnologia e manufaturas norte-americanas para apoiar as prioridades do governo chinês.

O ator ameaçador até então desconhecido exibe alto nível de sofisticação técnica, habilidades avançadas em segurança operacional (OPSEC) e amplo conhecimento de ambientes de nuvem e máquinas virtuais (VM), segundo informações compartilhadas pelo CrowdStrike.

A empresa de cibersegurança afirmou durante o verão de 2025 que identificou múltiplos casos em que o adversário foi alvo VMware vCenter Ambientes.

De acordo com as descobertas da CrowdStrike, o Warp Panda provavelmente usou acesso a uma das redes comprometidas para realizar reconhecimento rudimentar contra uma entidade governamental da Ásia-Pacífico.

Os hackers também foram conectados a vários blogs de cibersegurança e a um repositório GitHub em mandarim.

Durante pelo menos uma invasão, o adversário acessou especificamente contas de e-mail de funcionários que trabalham em temas alinhados aos interesses do governo chinês.

O adversário tem como alvo principal entidades na América do Norte e mantém consistentemente acesso persistente e encoberto a redes comprometidas, provavelmente para apoiar esforços de coleta de inteligência alinhados aos interesses estratégicos da República Popular da China (RPC).

Atividade Maliciosa de Longo Prazo e Persistente

A atividade foi descrita como de longo prazo e persistente, com uma intrusão em 2023 servindo como ponto de acesso inicial do Warp Panda.. O CrowdStrike comentou que o ator ameaçador está ativo desde pelo menos 2022.

A empresa avaliou com confiança moderada que o ator ameaçador provavelmente manterá suas operações de coleta de inteligência no curto e longo prazo.

Esse foco em operações de acesso de longo prazo sugere que eles estão associados a uma organização bem financiada que investiu fortemente em capacidades de ciberespionagem.

O adversário foi identificado como se posicionando Malware BRICKSTORM nos servidores VMware VCenter, uma backdoor escrita em Golang que frequentemente se passa por processos legítimos do vCenter, como o asupdatemgrorvami-http.

A Warp Panda também implantou dois implantes baseados em Golang antes não observados – JunçãoeGuestConduit– em hosts ESXi e VMs convidadas, respectivamente.

Em 4 de dezembro, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) publicou Um Conselho Conjunto o que confirmou que um ator cibernético patrocinado pelo Estado da RPC está usando o malware BRICKSTORM para persistência de longo prazo nos sistemas vítimas. O aviso também destacou que as VMware vSphereplatforms foram alvo.

A análise da CISA afirmou que os atores de ameaças cibernéticas usados TEMPESTADE TIJOLARIA para acesso persistente de pelo menos abril de 2024 até pelo menos 3 de setembro de 2025.

O Warp Panda frequentemente obtém acesso inicial explorando dispositivos de borda voltados para a internet e, posteriormente, migra para ambientes vCenter, usando credenciais válidas ou explorando vulnerabilidades do vCenter, observou a CrowdStrike. Para se mover lateralmente dentro das redes comprometidas, o adversário usa SSH e a conta de gerenciamento privilegiada vpxuser.

Em alguns casos, a CrowdStrike os identificou usando o Protocolo de Transferência Segura de Arquivos (SFTP) para transferir dados entre hosts.

TTPs também incluem limpeza de logs e timetomping de arquivos, além de criar VMs maliciosas – não registradas no servidor vCenter – e desligá-las após o uso.

Para se misturar ao tráfego legítimo da rede, o adversário usou o BRICKSTORM para tunelar o tráfego através de servidores vCenter, hosts ESXi e VMs convidadas.

Implantes BRICKSTORM se passam por processos legítimos do vCenter e possuem mecanismos de persistência que permitem que os implantes sobrevivam após a exclusão de arquivos e reinicializações do sistema.

Além disso, a Warp Panda explorou múltiplas vulnerabilidades em dispositivos de borda e ambientes VMware vCenter durante suas operações

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.