Chinese hackers WARP PANDA infiltreren VMware Clouds
Cybersecuritybedrijf CrowdStrike heeft een nieuwe, zeer geavanceerde dreigingsactor geïdentificeerd met banden met de Chinese staat: WARP PANDA. Deze groep richt zich actief op VMware vCenter-omgevingen bij Amerikaanse juridische, technologische en productiebedrijven en gebruikt daarvoor de gesofisticeerde BRICKSTORM-malware.
WARP PANDA blinkt uit in technische verfijning, geavanceerde operationele beveiliging (OPSEC) en diepgaande kennis van cloud- en virtuele machine (VM) omgevingen. Hun operaties zijn vrijwel zeker gemotiveerd door inlichtingenbehoeften die aansluiten bij de strategische belangen van de Volksrepubliek China (VRC) zo meldt CrowdStrike.
VMware vCenter als Hoofddoel
CrowdStrike heeft gedurende 2025 meerdere inbraken vastgesteld waarbij WARP PANDA met succes toegang kreeg tot VMware vCenter-servers. In één geval hadden de aanvallers al sinds eind 2023 initiële toegang tot het netwerk.
Naast BRICKSTORM, dat zich vaak voordoet als een legitiem vCenter-proces, zet de groep nog twee nieuwe, in Golang geschreven implantaten in:
Junction: Een implant voor VMware ESXi-servers dat communiceert via VM-sockets (VSOCK) en commando’s kan uitvoeren.
GuestConduit: Een tunneling-implant dat binnen gast-VM's draait en helpt bij het verplaatsen van netwerkverkeer tussen VM’s en hypervisors.
Malafide VM's
De tactieken van WARP PANDA zijn gericht op langdurige, onopgemerkte persistentie. Ze krijgen vaak toegang door kwetsbaarheden in internetgerichte edge devices (zoals VPN’s en firewalls) uit te buiten, waarna ze pivoteren naar de vCenter-omgeving.
Om sporen te wissen, maakt de groep gebruik van logverwijdering en timestomping (het manipuleren van bestandstijden). Bovendien creëren ze malafide VM’s die niet in de vCenter-server zijn geregistreerd en schakelen ze deze na gebruik direct weer uit. BRICKSTORM gebruikt geavanceerde tunnelingtechnieken via WebSockets en DNS-over-HTTPS (DoH) om C2-communicatie te maskeren.
In de zomer van 2025 heeft WARP PANDA ook Microsoft Azure-omgevingen geëxploiteerd om Microsoft 365-data (OneDrive, SharePoint) te benaderen. Ze gebruikten hiervoor gestolen gebruikerssessietokens en registreerden zelfs nieuwe MFA (Multi-Factor Authenticatie) apparaten om persistentie te garanderen.
Oproep tot actie
CrowdStrike merkt op dat WARP PANDA de enige bekende dreigingsactor is die tot nu toe gebruikmaakt van de BRICKSTORM-, GuestConduit- en Junction-malware. De experts raden organisaties dringend aan om proactief te zijn. Cruciale aanbevelingen zijn onder meer:
- Beperking van uitgaande internettoegang vanuit ESXi- en vCenter-omgevingen.
- Strikte monitoring van de aanmaak van ongeautoriseerde virtuele machines.
- Onmiddellijk patchen van bekende kwetsbaarheden in vSphere-infrastructuur (zoals kritieke CVE’s in Ivanti Connect Secure en VMware vCenter).
