Kinesiska hackare fanns i Microsoft 365 i 18 månader utan att märkas

I ungefär ett och ett halvt år läste en grupp statsknutna kinesiska hackare företagsmejl, öppnade interna filer och rörde sig genom företagsnät medan de för varje övervakningsverktyg såg ut som vanliga anställda som loggar in för att jobba. Intrånget, som säkerhetsföretaget Volexity har kartlagt, knäckte inte Microsoft 365. Det utgav sig för att vara de som redan hade nycklarna.

Den skillnaden är hela historien, och den förklarar varför intrånget angår alla vars arbete lever inne i ett molnkonto. Microsoft 365 är i dag platsen där de flesta företag förvarar sin post, sina dokument och den enda inloggning som låser upp allt annat. Angriparna behövde aldrig besegra det systemet. De lånade en giltig inloggning och kom in genom ytterdörren, och försvaret som var byggt för att fråga ”är det verkligen du?” bestämde att det var det.

Gruppen följs som UNC5221, även känd som VerdantBamboo, en operation med kinesiskt ursprung som forskare har bevakat i åratal eftersom den angriper enheterna i utkanten av företagsnäten. Den senaste kampanjen träffade juristbyråer, mjukvaruföretag, leverantörer av processutläggning och teknikleverantörer. Det är inga slumpvisa mål: det är organisationer som förvarar andra organisationers hemligheter, från klientakter till källkod och nycklarna som når kunderna längre ner i ledet.

Verktygslådan förklarar varför åtkomsten förblev osynlig så länge. Kärnan är en bakdörr som heter Brickstorm, först skriven i språket Go och senare ombyggd i Rust, planterad på nätverksenheter som sällan kör säkerhetsmjukvara och nästan aldrig granskas. I ett fall tog sig angriparna in via ett Egnyte-filsynksystem som var nåbart över företagets VPN. Från det tysta fästet lät Brickstorms inbyggda proxyfunktion dem leda sin aktivitet genom offrets eget nät, så att anslutningen såg lokal och legitim ut när de nådde Microsoft 365 med stulna inloggningsuppgifter. Volexity bedömer med hög säkerhet att det var avsiktligt, ett sätt att smälta in i den normala trafiken och slinka förbi reglerna för villkorsstyrd åtkomst som annars hade flaggat en inloggning från fel plats. Två delar till höll dörren öppen: en .NET-bakdörr som forskarna döpte till Plenet och som gav operatörerna en interaktiv konsol och filkontroll, och ett omvänt Python-skal som hette AgentPSD och hölls i reserv. Redundansen var själva poängen. Allt var byggt för att överleva upptäckt, inte för att undvika den för alltid.

Den mest obekväma detaljen är räkningen på tid. Upptäckten kom omkring arton månader efter att inkräktarna först tog sig in. I kampanjer av det här slaget har utredare mätt en genomsnittlig närvarotid på långt över ett år, tillräckligt länge för att loggarna över det ursprungliga intrånget i många fall redan skulle ha raderats av rutinmässiga lagringsregler innan någon visste att det fanns skäl att titta. Angriparna gömde sig inte bara. De överlevde bevisen.

Räckvidden gick bortom det första offret. I minst ett fall tog gruppen sig in hos en leverantör av hanterade tjänster, det externa it-företag som sköter tekniken åt dussintals mindre kunder, och planterade en version av Brickstorm i dess brandvägg. Ett enda intrång där blir en huvudnyckel till varje kund bakom det. Det är den del av historien som reser bortom USA, där de flesta kända målen finns. Varje företag som lägger ut sin it, vilket vill säga nästan alla, ärver säkerheten hos en leverantör vars insida det inte kan se.

Inget av detta är ett fel i Microsoft 365 som en uppdatering täpper till. Ingångarna var enheter från tredje part och stulna inloggningsuppgifter, och molnet betedde sig precis som det var tänkt så snart en betrodd inloggning dök upp. Det är det svåra problem som avslöjandet lämnar öppet. Organisationer utan detektionsmjukvara på sina servrar och enheter hade nästan ingen chans att se aktiviteten, och även de som hade den mötte en operation byggd för att se ut som vardag. Eftersom det var spioneri och inte utpressningsprogram fanns ingen låst skärm och inget utpressningsbrev som tvingade fram larmet, bara data som tyst lämnade nätet så länge operatörerna ville fortsätta titta.

Intrången kom fram omkring mars 2025, och varningarna har blivit fler sedan dess. Mellan augusti 2025 och januari 2026 gav FBI, NSA och den amerikanska cybersäkerhetsmyndigheten CISA ut en rad varningar om intrång med kinesisk statlig uppbackning, och CISA har separat flaggat för att Brickstorm riktas mot VMware-servrar. Utredarnas praktiska råd är smalt och föga glamoröst: spara loggarna längre än angriparna kan gömma sig, och sätt detektion på de tysta enheterna i nätets utkant, just där spökena, visar det sig, helst håller till.

Taggar: cybersäkerhet