Kinesiske hackere var i Microsoft 365 i 18 måneder uten å bli oppdaget

I rundt halvannet år leste en gruppe statstilknyttede kinesiske hackere bedriftspost, åpnet interne filer og beveget seg gjennom firmanett mens de for ethvert overvåkingsverktøy så ut som helt vanlige ansatte som logger inn for å jobbe. Innbruddet, som sikkerhetsselskapet Volexity har kartlagt, knakk ikke Microsoft 365. Det utga seg for å være dem som allerede hadde nøklene.

Den forskjellen er hele historien, og den forklarer hvorfor bruddet angår alle hvis arbeid lever inne i en skykonto. Microsoft 365 er i dag stedet der de fleste bedrifter oppbevarer posten, dokumentene og den ene påloggingen som låser opp alt annet. Angriperne måtte aldri beseire det systemet. De lånte en gyldig pålogging og kom inn døra foran, og forsvaret som var bygd for å spørre «er det virkelig deg?», bestemte at det var det.

Gruppen følges som UNC5221, også kjent som VerdantBamboo, en operasjon med kinesisk opphav som forskere har fulgt i årevis fordi den går etter enhetene i utkanten av bedriftsnettene. Den siste kampanjen traff advokatfirmaer, programvareselskaper, leverandører av prosessutsetting og teknologileverandører. Det er ikke tilfeldige mål: det er organisasjoner som oppbevarer andre organisasjoners hemmeligheter, fra klientmapper til kildekode og nøklene som når kundene lenger ned.

Verktøykassen forklarer hvorfor tilgangen forble usynlig så lenge. Kjernen er en bakdør kalt Brickstorm, først skrevet i språket Go og senere bygd om i Rust, plantet på nettverksenheter som sjelden kjører sikkerhetsprogramvare og nesten aldri blir sjekket. I ett tilfelle kom angriperne inn via et Egnyte-filsynkroniseringssystem som var nåbart over bedriftens VPN. Fra det stille fotfestet lot Brickstorms innebygde proxyfunksjon dem lede aktiviteten gjennom offerets eget nett, slik at forbindelsen så lokal og legitim ut da de nådde Microsoft 365 med stjålne påloggingsdetaljer. Volexity vurderer med høy sikkerhet at det var bevisst, en måte å smelte inn i den vanlige trafikken og slippe forbi reglene for betinget tilgang som ellers ville ha flagget en pålogging fra feil sted. To deler til holdt døra åpen: en .NET-bakdør forskerne kalte Plenet, som ga operatørene en interaktiv konsoll og filkontroll, og et omvendt Python-skall ved navn AgentPSD, holdt i reserve. Overflødigheten var hele poenget. Alt var bygd for å overleve oppdagelse, ikke for å unngå den for alltid.

Den mest ubehagelige detaljen er regnestykket om tid. Oppdagelsen kom rundt atten måneder etter at inntrengerne først kom inn. I kampanjer av dette slaget har etterforskere målt en gjennomsnittlig oppholdstid på godt over et år, lenge nok til at loggene over det opprinnelige innbruddet i mange tilfeller allerede var slettet av rutinemessige lagringsregler før noen visste at det var grunn til å se etter. Angriperne bare gjemte seg ikke. De overlevde bevisene.

Rekkevidden gikk forbi det første offeret. I minst ett tilfelle kompromitterte gruppen en leverandør av administrerte tjenester, det eksterne it-selskapet som driver teknologien for dusinvis av mindre kunder, og plantet en versjon av Brickstorm i brannmuren dens. Ett enkelt innbrudd der blir en hovednøkkel til hver eneste kunde bak den. Det er den delen av historien som reiser forbi USA, der de fleste kjente målene befinner seg. Ethvert selskap som setter ut it-en sin, det vil si nesten alle, arver sikkerheten til en leverandør det ikke kan se inn i.

Ingenting av dette er en feil i Microsoft 365 som en oppdatering vil tette. Inngangene var enheter fra tredjepart og stjålne påloggingsdetaljer, og skyen oppførte seg akkurat som tiltenkt så snart en betrodd pålogging dukket opp. Det er det vanskelige problemet avsløringen lar stå åpent. Organisasjoner uten deteksjonsprogramvare på serverne og enhetene sine hadde nesten ingen sjanse til å se aktiviteten, og selv de som hadde den, sto overfor en operasjon laget for å se ut som hverdag. Fordi det var spionasje og ikke løsepengevirus, var det ingen låst skjerm og ingen utpressingslapp til å tvinge fram alarmen, bare data som stille forlot nettet så lenge operatørene ville fortsette å se på.

Innbruddene kom fram rundt mars 2025, og advarslene har blitt flere siden. Mellom august 2025 og januar 2026 ga FBI, NSA og det amerikanske cybersikkerhetsbyrået CISA ut en rekke advarsler om innbrudd med kinesisk statlig støtte, og CISA har separat varslet om at Brickstorm rettes mot VMware-servere. Etterforskernes praktiske råd er smalt og lite glamorøst: ta vare på loggene lenger enn angriperne klarer å gjemme seg, og sett deteksjon på de stille enhetene i utkanten av nettet, nettopp der spøkelsene, viser det seg, helst holder til.

Tagger: cybersikkerhet