Beveiligingsonderzoekers hebben een ernstige inbreuk ontdekt bij F5 Networks waarbij hun BIG-IP-apparaten betrokken zijn. Hackers die banden hebben met een China-nexus-dreigingsgroep die bekend staat als UNC5221 hebben hardnekkige toegang gekregen tot de interne systemen van F5 en hebben de basis gelegd voor wat een zeer geavanceerde achterdeurcampagne lijkt te zijn. De groep bleef minstens een jaar onopgemerkt in sommige systemen.
F5 identificeerde voor het eerst verdachte activiteiten op 9 augustus 2025 en maakte het incident pas op 15 oktober openbaar na overleg met de Amerikaanse wetshandhaving. Het bedrijf gaf toe dat de broncode en interne configuratiegegevens voor BIG-IP-systemen waren gestolen.
De Brickstorm-achterdeur en hoe het werkt
De achterdeur die in deze campagne wordt gebruikt, wordt Brickstorm genoemd. Onderzoekers beschrijven het als een op zichzelf staand uitvoerbaar bestand dat is ingebouwd in Go, speciaal ontworpen voor edge-appliance-omgevingen waar traditionele beveiligingstools schaars zijn. Het ondersteunt uitgaande versleutelde verbindingen die normaal webverkeer nabootsen, upgradet naar WebSocket voor command and control, en maakt zelfs gebruik van SOCKS-achtige proxying zodat aanvallers zich onopgemerkt binnen het netwerk kunnen bewegen.
In tegenstelling tot veel malwarefamilies die afhankelijk zijn van malware die op endpoints wordt gedropt, richt Brickstorm zich op netwerkbeheerapparaten zoals BIG-IP, waardoor ze worden omgezet in sluipende, langdurige vertrekpunten voor aanvallers. Logboeken en telemetrie zijn minimaal, waardoor detectie erg moeilijk is.
Gestolen code verhoogt de inzet
Wat deze inbreuk vooral zorgwekkend maakt, is de diefstal van eigen broncode en interne kwetsbaarheidsinformatie van F5. Dat geeft de aanvallers potentieel inzicht in niet-openbaar gemaakte fouten in BIG-IP en gerelateerde producten. Experts waarschuwen dat dit de ontdekking van zero-day exploits kan versnellen en kwetsbare apparaten gemakkelijker kan bewapenen.
Als reactie hierop heeft het Cybersecurity and Infrastructure Security Agency (CISA) noodrichtlijn ED 26-01 uitgevaardigd, die federale agentschappen verplicht om F5 BIG-IP-apparaten te inventariseren, indien mogelijk beheerinterfaces van internet te verwijderen en patches onmiddellijk toe te passen.
Wat dit betekent voor organisaties
Voor elk bedrijf dat F5 BIG-IP-apparaten gebruikt, signaleert de inbreuk dringende actie. Systemen voor taakverdeling en verkeersbeheer van netwerken, die vaak worden vertrouwd en minder worden gecontroleerd, kunnen nu worden bewapend als spil in interne netwerken.
Organisaties moeten:
- Inventariseer alle apparaten en controleer of beheerconsoles zijn blootgesteld aan internet
- Pas de nieuwste firmware- en beveiligingsupdates van F5 toe
- Segmenteer het netwerkverkeer zodat het beheer van apparaten zich niet op dezelfde vertrouwensroutes bevindt als bedrijfsmiddelen
- Controleer op abnormaal uitgaand verkeer dat lijkt op uploadpatronen in de browser of WebSocket-tunnels
Zelfs als een netwerk nog niet is geïnfecteerd, moet het bestaande bedreigingsmodel verschuiven om beheerapparaten te behandelen als activa met een hoge prioriteit.
F5 zegt dat het geen bewijs heeft dat de gestolen fouten tot nu toe in het wild zijn uitgebuit, maar waarschuwt dat de mogelijkheid bestaat en moet worden behandeld als een onmiddellijke bedreiging. Organisaties moeten er niet van uitgaan dat ‘nog’ ‘nooit’ betekent.
Toekomstige aanvalscampagnes kunnen oudere kwetsbaarheden agressiever inzetten, de gestolen broncode gebruiken voor nieuwe exploits, of supply chain-aanvallen initiëren die via appliance-ecosystemen lopen. Voorlopig moeten de kijkers ervan uitgaan dat aanvallers al diep inzicht hebben en de volgende stap plannen.