VerdantBamboo: Chinesische Hacker 18 Monate in Enterprise-Netzwerken
11.06.2026 - 13:15:41 | boerse-global.de
Eine als VerdantBamboo bekannte Gruppe chinesischer Angreifer hat über 18 Monate lang unentdeckt in Unternehmensnetzwerken operiert. Die Angreifer nutzten gezielt ungeschützte Edge-Geräte und Linux-basierte Appliances als Einfallstor.
Angriffe wie durch VerdantBamboo zeigen, wie verwundbar die IT-Infrastruktur moderner Firmen gegen spezialisierte Schadsoftware ist. Erfahren Sie im kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen langfristig vor komplexen Cyberbedrohungen schützen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen
Infektion über mehrere Stufen
Die Sicherheitsfirma Volexity deckte die Kampagne auf. Demnach setzte die Gruppe eine Reihe spezialisierter Schadprogramme ein, darunter BRICKSTORM – eine Hintertür für BSD-basierte pfSense-Firewalls, die häufig von Dienstleistern betrieben werden.
Ein weiteres Werkzeug namens PLENET (auch als GRIMBOLT bekannt) ist eine .NET-Core-Anwendung. Die Angreifer kompilierten sie mit AOT-Verfahren (Ahead-of-Time), um die Analyse zu erschweren. Zusätzlich nutzten sie AGENTPSD, eine Python-basierte Reverse Shell, für die Kommunikation mit ihrer Kommandozentrale.
Im Visier standen vor allem Linux-Geräte: Egnyte Storage Sync, Synology NAS und pfSense-Firewalls. Durch die Kompromittierung dieser Edge-Geräte umgingen die Angreifer die klassische Perimetersicherheit und gelangten in interne Systeme.
Managed Service Provider als Einfallstor
Der erste Zugang erfolgte in mehreren Fällen über einen kompromittierten Managed Service Provider (MSP). VerdantBamboo nutzte gestohlene Zugangsdaten und eine lokale Rechteausweitungslücke – unsichere sudo-Konfigurationen – um administrative Rechte auf Egnyte Storage Sync zu erlangen.
Da Angreifer immer häufiger über Drittanbieter und gestohlene Zugangsdaten in Netzwerke eindringen, wird die interne Awareness zum entscheidenden Schutzfaktor. Dieser Experten-Report klärt darüber auf, welche neuen Bedrohungen und gesetzlichen Anforderungen Unternehmer jetzt kennen müssen, um ihre Abwehr zu stärken. Gratis-Report zu Cyber Security Trends sichern
Von diesen Speichergeräten aus weiteten die Angreifer ihren Zugriff auf die Microsoft-365-Umgebungen der Opfer aus. So konnten sie vertrauliche Kommunikation und Daten aus Cloud-Anwendungen abziehen.
Zeitlicher Ablauf
Die Kampagne begann bereits im September 2025. Die Angreifer blieben mehr als eineinhalb Jahre unentdeckt. Eine kritische Sicherheitslücke in Egnyte Storage Sync, die Teile des Angriffs ermöglichte, wurde erst im März 2026 geschlossen.
Der Fall zeigt, wie schwer es Unternehmen fällt, spezialisierte Linux-Geräte zu überwachen. Diese unterstützen oft keine Standard-Endpunktschutzsoftware.
Parallelen zu anderen Kampagnen
Die Aktivitäten von VerdantBamboo überschneiden sich mit bekannten Bedrohungsclustern wie Clay Typhoon, UNC5221 und Warp Panda. Zeitgleich berichten Analysten von Lumen's Black Lotus Labs über die Ausweitung des JDY Botnet auf über 1.500 kompromittierte SOHO- und IoT-Geräte.
Während JDY vor allem als Aufklärungs- und Scan-Werkzeug für Gruppen wie Volt Typhoon dient, zeigt VerdantBamboo einen gezielteren Ansatz: Enterprise-Storage und Netzwerkhardware als Angriffsziel. Beide Entwicklungen belegen die strategische Ausrichtung chinesischer Akteure auf Edge-Infrastruktur für langfristige Spionage.
