Pesquisadores de segurança descobriram um sério comprometimento na F5 Networks envolvendo seus dispositivos BIG-IP. Hackers ligados a um grupo de ameaças China-Nexus conhecido como UNC5221 obtiveram acesso persistente aos sistemas internos da F5 e lançaram as bases para o que parece ser uma campanha de backdoor altamente avançada. O grupo permaneceu sem ser detectado em alguns sistemas por pelo menos um ano.
A F5 identificou atividades suspeitas pela primeira vez em 9 de agosto de 2025 e só divulgou o incidente publicamente em 15 de outubro, após consulta às autoridades dos EUA. A empresa admitiu que o código-fonte e os dados de configuração interna dos sistemas BIG-IP foram roubados.
O backdoor do Brickstorm e como funciona
O backdoor usado nesta campanha foi apelidado de Brickstorm. Os pesquisadores o descrevem como um executável independente construído em Go, projetado especificamente para ambientes de dispositivos de borda onde as ferramentas de segurança tradicionais são escassas. Ele suporta conexões criptografadas de saída que imitam o tráfego normal da web, atualiza para WebSocket para comando e controle e até aproveita o proxy no estilo SOCKS para que os invasores possam se mover dentro da rede sem serem detectados.
Ao contrário de muitas famílias de malware que dependem de malware caindo em endpoints, o Brickstorm tem como alvo dispositivos de gerenciamento de rede, como o BIG-IP, transformando-os em pontos de saída furtivos e de longo prazo para invasores. Os logs e a telemetria são mínimos, tornando a detecção muito difícil.
Código roubado aumenta as apostas
O que torna essa violação especialmente preocupante é o roubo de código-fonte proprietário e informações de vulnerabilidade interna da F5. Isso dá aos invasores visibilidade potencial de falhas não divulgadas no BIG-IP e produtos relacionados. Especialistas alertam que isso pode acelerar a descoberta de explorações de dia zero e tornar os aparelhos vulneráveis mais facilmente armados.
Em resposta, a Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu a Diretiva de Emergência ED 26-01, exigindo que as agências federais inventariem os dispositivos F5 BIG-IP, removam as interfaces de gerenciamento da Internet, se possível, e apliquem patches imediatamente.
O que isso significa para as organizações
Para qualquer empresa que use dispositivos F5 BIG-IP, a violação sinaliza uma ação urgente. Os sistemas de balanceamento de carga de rede e gerenciamento de tráfego, que geralmente são confiáveis e menos monitorados, agora podem ser transformados em pivôs em redes internas.
As organizações devem:
- Faça o inventário de todos os dispositivos e verifique se os consoles de gerenciamento estão expostos à Internet
- Aplique as atualizações de firmware e segurança mais recentes da F5
- Segmente o tráfego de rede para que o gerenciamento de dispositivos não fique nas mesmas faixas de confiança que os ativos corporativos
- Monitore o tráfego de saída anormal que se assemelha a padrões de upload do navegador ou túneis WebSocket
Mesmo que uma rede ainda não esteja infectada, o modelo de ameaça existente precisa mudar para tratar os dispositivos de gerenciamento como ativos de alta prioridade.
A F5 diz que não tem evidências de que as falhas roubadas tenham sido exploradas até agora, mas adverte que a capacidade existe e deve ser tratada como uma ameaça iminente. As organizações não devem presumir que “ainda” significa “nunca”.
Futuras campanhas de ataque podem implantar vulnerabilidades mais antigas de forma mais agressiva, aproveitar o código-fonte roubado para novas explorações ou iniciar ataques à cadeia de suprimentos por meio de ecossistemas de dispositivos. Por enquanto, os observadores devem presumir que os invasores já têm uma visão profunda e estão planejando o próximo passo.