Suite aux récentes attaques ciblant les environnements VMware vSphere, Object First délivre son témoignage et des conseils simples.

Les attaques Brickstorm ont été observées tout au long de 2025, avec des intrusions persistantes remontant parfois à avril 2024. Elles ont visé principalement les environnements VMware vSphere, vCenter et ESXi d’organisations sensibles aux États-Unis, dans les secteurs gouvernementaux, IT, juridique et industriel.

Menées par le groupe Warp Panda, lié à la Chine, ces opérations de cyberespionnage sophistiquées visaient à maintenir un accès furtif et durable aux systèmes compromis. Les attaquants ont déployé le malware Brickstorm pour s’implanter durablement, manipuler les serveurs d’authentification et exfiltrer des données sensibles, tout en menaçant la disponibilité des machines virtuelles et de leurs sauvegardes si elles n’étaient pas correctement isolées.

Ces intrusions soulignent un risque critique : lorsqu’un cluster VMware est compromis, l’ensemble des machines virtuelles peut devenir inaccessible, et les sauvegardes elles-mêmes peuvent être perdues si elles résident sur la même infrastructure. Plusieurs incidents récents montrent que ce scénario n’est plus théorique.

Dans ce contexte, Stéphane Berthaud, EMEA Sales Engineer chez Object First, explique : « Les attaques comme Brickstorm rappellent une réalité essentielle : lorsqu’un environnement vSphere est compromis, ce ne sont pas seulement les machines virtuelles qui sont en danger, mais aussi la capacité même à redémarrer l’activité. Des sauvegardes récentes, récurrentes et surtout stockées sur une infrastructure totalement isolée et absolument immuable, font aujourd’hui toute la différence. La résilience des données doit s’appuyer sur une approche zéro trust : ne jamais considérer les sauvegardes comme sures si elles partagent le même périmètre que la production. C’est cette séparation stricte qui permet une reprise rapide, sans rançon ni interruption prolongée ».