A Mandiant descobriu um novo ecossistema de malware relacionado à espionagem visando VMware ESXi, servidores Linux vCenter e máquinas virtuais Windows que oferece ao invasor acesso administrativo persistente, permite transferir arquivos entre virtualizadores e máquinas convidadas, adulterar o registro e executar comandos arbitrários entre máquinas virtuais.

A atividade detalhada, está sendo rastreada em um novo cluster, o que significa que a Mandiant ainda não a vinculou a nenhum grupo avançado de cibercriminosos.

O agente da ameaça parece estar mirando intencionalmente em dispositivos sem sistemas de detecção e resposta de endpoint.

Atualmente, a Mandiant está ciente de menos de 10 organizações infectadas com o malware, mas espera que esse número aumente após a divulgação, à medida que as equipes de segurança procuram detectar a atividade anteriormente desconhecida.

“Esse malware difere porque suporta permanecer persistente e encoberto, o que é consistente com os objetivos de agentes de ameaças maiores e grupos de APT que visam instituições estratégicas com a intenção de permanecer indetectáveis por algum tempo”, afirma o blog da VMWare.