Компанія F5, постачальник рішень безпеки та доставки додатків, розкрила 16 жовтня 2025 року кібератаку, приписану актору держави-нації, з доказами, що вказують на Китай через профіль атаки. SecurityWeek повідомила, що китайські хакери раніше націлювалися на пристрої BIG-IP, а недавні знахідки Google пов’язують подібну діяльність з malware Brickstorm, використовуваним китайськими кібершпигунами для полювання на zero-day вразливості в SaaS та технологічних компаніях. Bloomberg підтвердив внутрішню думку F5 про відповідальність Китаю. Зловмисники, відстежувані як UNC5221 групою Google Threat Intelligence та Mandiant, перебували в мережі F5 щонайменше 12 місяців — виявлено 9 серпня — та ексфільтрували файли, включаючи вихідний код платформи BIG-IP та інформацію про невідкриті вразливості. Вони також викрали файли з платформи управління знаннями інженерії, що містять дані конфігурації для невеликого відсотка клієнтів. Однак F5 не знайшов доказів маніпуляцій ланцюгом постачань, модифікацій вихідного коду NGINX, середовищ розробки продуктів чи доступу до F5 Distributed Cloud Services або систем Silverline. Mandiant та CrowdStrike були залучені для розслідування та захисту систем F5. У відповідь F5 ротаціювала сертифікати підпису та ключі для продуктів BIG-IP та випустила патчі для понад двох десятків вразливостей високої серйозності в BIG-IP та інших продуктах, які могли б дозволити обхід безпеки, ескалацію привілеїв та атаки відмови в обслуговуванні (DoS). Більшість вад дозволяють віддалений DoS без аутентифікації, інші вимагають аутентифікації чи підвищених привілеїв. F5 заявила, що немає доказів експлуатації невідкритих критичних чи віддаленого виконання коду вразливостей.

Порушення створює значні ризики для організацій, що використовують продукти F5, спонукаючи до попереджень від агенцій кібербезпеки. У США Агентство з кібербезпеки та безпеки інфраструктури (CISA) видало надзвичайну директиву, попереджаючи, що крадіжка вихідного коду та даних вразливостей становить неминучу загрозу для федеральних мереж, потенційно дозволяючи зловмиснику ідентифікувати zero-day вади та розробляти цільові експлойти через статичний та динамічний аналіз. CISA доручила федеральним організаціям інвентаризувати апаратне та програмне забезпечення BIG-IP, застосувати патчі до 31 жовтня, посилити інтернет-орієнтовані пристрої та від’єднати пристрої з кінцем підтримки; деякі агенції були сповіщені про вразливість витоку cookie BIG-IP. Національний центр кібербезпеки Великобританії (NCSC) видав подібні рекомендації, підкреслюючи, що експлуатація може дозволити доступ до вбудованих облікових даних та ключів API, бічний рух, ексфільтрацію даних та постійний доступ. F5 надала клієнтам посібник з полювання на загрози, зосереджений на malware Brickstorm, для пом’якшення потенційних ризиків.