Íntegra

Pesquisadores de segurança da empresa Mandiant, em conjunto com o Grupo de Inteligência de Ameaças da Google (CTIG) estudaram ataques hackers a uma falha crítica na Dell, levados a cabo desde ao menos meados de 2024. O grupo UNC6201, ligado à China, explora a vulnerabilidade CVE-2026-22769, relacionada a credenciais hardcoded (inclusas no código sem criptografia).

O problema está, especificamente, no Dell RecoverPoint para Máquinas Virtuais, solução usada para backup e recuperação de máquinas virtuais VMware. Todas as versões anteriores à 6.0.3.1 HF1 possuem a vulnerabilidade de credenciais, segundo a própria Dell confirmou em um comunicado da última terça-feira (17).

De acordo com a Dell, qualquer atacante remoto em poder das credenciais hardcoded pode conseguir acesso não autorizado ao sistema operacional, garantindo persistência a nível root. A empresa recomenda atualizar o software ou aplicar outras soluções, como descrito em seu comunicado, o mais rápido possível.

Os hackers do UNC6201 entregam vários payloads maliciosos, incluindo um novo malware de backdoor chamado Grimbolt, escrito em C#: é um sucessor mais rápido e difícil de se analisar da backdoor Brickstorm.

Para invadir a infraestrutura dos usuários, os cibercriminosos também usam técnicas novas, como a criação de interfaces de rede escondidas (Ghost NICs) em servidores VMware ESXi para manter a furtividade na rede da vítima.

Os pesquisadores notaram ligações entre o grupo e outros hackers chineses do UNC5221, conhecidos por explorar vulnerabilidades zero-day no Ivanti, que mira em agências governamentais com os malwares Spawnant e Zipline. Segundo o GTIG, esses hackers atacaram vários setores legais e tecnológicos nos Estados Unidos, enquanto a Crowdstrike ligou o malware Brickstorm a ataques em empresas manufatureiras do país.