VerdantBamboo: Chinesische Hacker 18 Monate in Enterprise-Netzwerken
11.06.2026 - 13:15:41 | boerse-global.de
Eine als VerdantBamboo bekannte Gruppe chinesischer Angreifer hat ĂŒber 18 Monate lang unentdeckt in Unternehmensnetzwerken operiert. Die Angreifer nutzten gezielt ungeschĂŒtzte Edge-GerĂ€te und Linux-basierte Appliances als Einfallstor.
Angriffe wie durch VerdantBamboo zeigen, wie verwundbar die IT-Infrastruktur moderner Firmen gegen spezialisierte Schadsoftware ist. Erfahren Sie im kostenlosen E-Book, wie Sie SicherheitslĂŒcken proaktiv schlieĂen und Ihr Unternehmen langfristig vor komplexen Cyberbedrohungen schĂŒtzen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen
Infektion ĂŒber mehrere Stufen
Die Sicherheitsfirma Volexity deckte die Kampagne auf. Demnach setzte die Gruppe eine Reihe spezialisierter Schadprogramme ein, darunter BRICKSTORM â eine HintertĂŒr fĂŒr BSD-basierte pfSense-Firewalls, die hĂ€ufig von Dienstleistern betrieben werden.
Ein weiteres Werkzeug namens PLENET (auch als GRIMBOLT bekannt) ist eine .NET-Core-Anwendung. Die Angreifer kompilierten sie mit AOT-Verfahren (Ahead-of-Time), um die Analyse zu erschweren. ZusĂ€tzlich nutzten sie AGENTPSD, eine Python-basierte Reverse Shell, fĂŒr die Kommunikation mit ihrer Kommandozentrale.
Im Visier standen vor allem Linux-GerÀte: Egnyte Storage Sync, Synology NAS und pfSense-Firewalls. Durch die Kompromittierung dieser Edge-GerÀte umgingen die Angreifer die klassische Perimetersicherheit und gelangten in interne Systeme.
Managed Service Provider als Einfallstor
Der erste Zugang erfolgte in mehreren FĂ€llen ĂŒber einen kompromittierten Managed Service Provider (MSP). VerdantBamboo nutzte gestohlene Zugangsdaten und eine lokale RechteausweitungslĂŒcke â unsichere sudo-Konfigurationen â um administrative Rechte auf Egnyte Storage Sync zu erlangen.
Da Angreifer immer hĂ€ufiger ĂŒber Drittanbieter und gestohlene Zugangsdaten in Netzwerke eindringen, wird die interne Awareness zum entscheidenden Schutzfaktor. Dieser Experten-Report klĂ€rt darĂŒber auf, welche neuen Bedrohungen und gesetzlichen Anforderungen Unternehmer jetzt kennen mĂŒssen, um ihre Abwehr zu stĂ€rken. Gratis-Report zu Cyber Security Trends sichern
Von diesen SpeichergerÀten aus weiteten die Angreifer ihren Zugriff auf die Microsoft-365-Umgebungen der Opfer aus. So konnten sie vertrauliche Kommunikation und Daten aus Cloud-Anwendungen abziehen.
Zeitlicher Ablauf
Die Kampagne begann bereits im September 2025. Die Angreifer blieben mehr als eineinhalb Jahre unentdeckt. Eine kritische SicherheitslĂŒcke in Egnyte Storage Sync, die Teile des Angriffs ermöglichte, wurde erst im MĂ€rz 2026 geschlossen.
Der Fall zeigt, wie schwer es Unternehmen fĂ€llt, spezialisierte Linux-GerĂ€te zu ĂŒberwachen. Diese unterstĂŒtzen oft keine Standard-Endpunktschutzsoftware.
Parallelen zu anderen Kampagnen
Die AktivitĂ€ten von VerdantBamboo ĂŒberschneiden sich mit bekannten Bedrohungsclustern wie Clay Typhoon, UNC5221 und Warp Panda. Zeitgleich berichten Analysten von Lumen's Black Lotus Labs ĂŒber die Ausweitung des JDY Botnet auf ĂŒber 1.500 kompromittierte SOHO- und IoT-GerĂ€te.
WĂ€hrend JDY vor allem als AufklĂ€rungs- und Scan-Werkzeug fĂŒr Gruppen wie Volt Typhoon dient, zeigt VerdantBamboo einen gezielteren Ansatz: Enterprise-Storage und Netzwerkhardware als Angriffsziel. Beide Entwicklungen belegen die strategische Ausrichtung chinesischer Akteure auf Edge-Infrastruktur fĂŒr langfristige Spionage.
