中國企圖掌握零時差漏洞情報並將其運用於攻擊的情況，不時有事故傳出，其中最近一起是關於微軟SharePoint的零時差漏洞ToolShell（CVE-2025-53770），有微軟主動防護計畫（Microsoft Active Protections Program，MAPP）中國成員疑似濫用情報，提供中國政府從事攻擊，迫使微軟採取相關措施因應。現在傳出有駭客專門針對垂直產業從事網路間諜活動，企圖以此取得開發零時差漏洞的相關資料。

Google威脅情報團隊（GTIG）揭露惡意軟體Brickstorm的活動，中國駭客UNC5221自今年3月開始，針對法律服務、SaaS供應商、業務流程外包商（BPO）、科技公司等一系列的垂直產業從事網路間諜活動，利用此惡意程式於受害企業組織持續活動。GTIG指出，由於這些攻擊目標的價值遠超出一般的間諜活動，他們研判駭客的目的有兩個，其中一個是收集特定資料，用於開發零時差漏洞，另一個則是建立據點，作為滲透下游企業組織的管道。但對於駭客收集那些資料協助開發零時差漏洞，GTIG並未說明。

可怕的是，這些駭客行蹤極為隱密，活動一年以上才被發現。他們試圖對無法部署EDR系統的設備下手，部署後門程式以便隱密地長時間存取，並透過幾乎無法遙測的手法進行橫向移動及資料竊取，再加上對於Brickstorm進行修補，使得駭客平均在受害組織活動的時間長達393天。

GTIG指出，由於在許多情況下已經超過留存事件記錄的時間，再加上駭客初期入侵的工具無法取得，導致他們難以確認駭客初始入侵媒介。不過根據他們掌握的其他證據，這些駭客專注在破壞邊界設備及遠端存取的基礎設施。

針對駭客攻擊的流程，GTIG確認UNC5221透過零時差漏洞來取得存取權限，其中一組是SSL VPN系統Ivanti Connect Secure的CVE-2023-46805、CVE-2024-21887。然後在多種以Linux、BSD作業系統為基礎的設備上植入Brickstorm，此惡意程式以Go語言打造，並具有SOCKS代理伺服器的功能。而對於駭客控制後門程式的管道，GTIG指出是利用Cloudflare Workers和Heroku應用程式充當C2。

接著，他們透過有效帳密進行橫向移動，存取VMware vCenter和ESXi主機。而取得帳密的方法，是在vCenter網頁管理介面植入惡意的Java Servlet工具Bricksteal。

這些駭客藉由vCenter的權限，複製部署重要系統的Windows Server虛擬機器（VM），然後掛載磁碟竊取相關資料。這些VM包含網域控制器、單一簽入（SSO）服務，以及存放機密資訊的主機。雖然受害組織都有部署相關資安防護系統，但由於駭客不會將VM開機，因此這些防護機制並未發揮作用。