En septembre 2025, les chercheurs de Google Threat Intelligence avaient prévenu : « On entendra parler de cette campagne pendant un an. » Moins de trois mois plus tard, l’alerte vient désormais des autorités américaines.
La CISA a publié le 4 décembre 2025 un rapport sur les activités malveillantes liées au logiciel BRICKSTORM. Cette backdoor est déployée dans des campagnes visant des organisations de premier ordre, notamment des entreprises technologiques et des entités gouvernementales.
Si le rapport de l’agence ne cite explicitement aucune victime, il indique avoir analysé huit échantillons provenant d’organisations compromises et précise avoir connaissance « d’intrusions en cours ».
Un risque d’actions coordonnées
Selon la CISA, BRICKSTORM possède « des fonctionnalités avancées permettant de dissimuler les communications, de se déplacer latéralement et de s’infiltrer dans les réseaux des victimes, ainsi que de se réinstaller ou de redémarrer automatiquement en cas d’interruption ».
Un arsenal idéal pour infiltrer durablement des infrastructures sensibles. Dans son rapport de septembre, Google Threat Intelligence estimait d’ailleurs que le temps moyen de présence de BRICKSTORM dans les systèmes compromis atteignait 393 jours.
Ce sont précisément ces capacités de furtivité qui inquiètent tout particulièrement Madhu Gottumukkala. Si le directeur par intérim de la CISA évoque pour l’instant un risque de « sabotages potentiels » plutôt qu’un passage avéré à l’acte, le potentiel de BRICKSTORM laisse entrevoir la possibilité d’actions coordonnées capables de perturber de manière ciblée des services essentiels.
Les capacités de BRICKSTORM
Dans la grande majorité des cas d’infiltration recensés par Google Threat Intelligence en septembre 2025, l’accès initial se faisait via l’exploitation de vulnérabilités non corrigées, parfois zero‑day, sur des équipements exposés en périphérie du réseau, mal inventoriés et rarement surveillés.
Une fois la faille exploitée, le malware BRICKSTORM était déployé : il permettait aux attaquants d’obtenir des identifiants valides (volés via le malware ou récupérés dans des scripts) et de se déplacer latéralement vers des systèmes plus critiques, notamment VMware vCenter — où ils installaient des outils pour assurer la persistance et capturer davantage d’accès et de données.
Les autorités appellent donc les organisations concernées à renforcer en urgence la surveillance de leurs environnements VMware et cloud, à corriger les vulnérabilités exploitées et à scruter toute activité anormale liée aux composants décrits dans les alertes officielles.
S’agissant de l’attribution de ces campagnes utilisant BRICKSTORM à des acteurs liés à la Chine, ce constat est partagé par les autorités américaines, Google mais également CrowdStrike, qui a récemment publié un rapport identifiant un nouvel acteur baptisé Warp Panda.
Dans une déclaration transmise à Reuters, un porte‑parole de l’ambassade de Chine à Washington a rejeté ces accusations, affirmant que le gouvernement chinois n’« encourage, ne soutient ni ne cautionne les cyberattaques ».
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !