Una vulnerabilidad de seguridad de dificultad máxima en Dell RecoverPoint para máquinas virtuales ha sido explotada como día cero por un camarilla de amenazas sospechoso de vinculo con China denominado UNC6201 desde mediados de 2024, según un nuevo noticia de Google Mandiant y Google Threat Intelligence Group (GTIG).
La actividad implica la explotación de CVE-2026-22769 (puntuación CVSS: 10.0), un caso de credenciales codificadas que afectan a versiones anteriores a 6.0.3.1 HF1. Otros productos, incluido RecoverPoint Classic, no son vulnerables a la rotura.
“Esto se considera crítico ya que un atacante remoto no autenticado con conocimiento de la credencial codificada podría potencialmente explotar esta vulnerabilidad, conduciendo a un acercamiento no acreditado al sistema operante subyacente y a la persistencia a nivel de raíz”, dijo Dell en un boletín publicado el martes.
El problema afecta a los siguientes productos:
- RecoverPoint for Imaginario Machines Traducción 5.3 SP4 P1: migre de RecoverPoint for Imaginario Machines 5.3 SP4 P1 a 6.0 SP3 y luego actualice a 6.0.3.1 HF1
- RecoverPoint para máquinas virtuales, versiones 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 y 6.0 SP3 P1: actualice a 6.0.3.1 HF1
- RecoverPoint for Imaginario Machines Versiones 5.3 SP4, 5.3 SP3, 5.3 SP2 y anteriores: actualice a la traducción 5.3 SP4 P1 o una traducción 6.x y luego aplique la decisión necesaria
“Dell recomienda que RecoverPoint para máquinas virtuales se implemente en el interior de una red interna confiable, de acercamiento controlado y protegida por firewalls y segmentación de red adecuados”, señaló. “RecoverPoint for Imaginario Machines no está diseñado para su uso en redes públicas o que no sean de confianza”.
Según Google, la credencial codificada se relaciona con un becario “administrador” para la instancia de Apache Tomcat Manager que podría estilarse para autenticarse en Dell RecoverPoint Tomcat Manager, cargar un shell web llamado SLAYSTYLE a través del punto final “/manager/text/deploy” y ejecutar comandos como root en el dispositivo para eliminar la puerta trasera BRICKSTORM y su traducción más nueva denominada GRIMBOLT.
“Esta es una puerta trasera de C# compilada usando compilación nativa anticipada (AOT), lo que dificulta la ingeniería inversa”, agregó Charles Carmakal de Mandiant.
Google le dijo a The Hacker News que la actividad se ha dirigido a organizaciones en toda América del Boreal, y GRIMBOLT incorpora funciones para esquivar mejor la detección y minimizar los rastros forenses en los hosts infectados. “GRIMBOLT es aún mejor a la hora de integrarse con los propios archivos nativos del sistema”, añadió.
Igualmente se evalúa que UNC6201 comparte superposiciones con UNC5221, otro camarilla de espionaje vinculo con China conocido por su explotación de tecnologías de virtualización y vulnerabilidades de día cero de Ivanti para distribuir shells web y familias de malware como BEEFLUSH, BRICKSTORM y ZIPLINE.
A pesar de las similitudes tácticas, se considera que los dos grupos son distintos en esta etapa. Vale la pena señalar que CrowdStrike incluso ha vinculado el uso de BRICKSTORM con un tercer adversario simpatizante con China rastreado como Warp Panda en ataques dirigidos a entidades estadounidenses.
Un aspecto digno de mención del postrer conjunto de ataques expedición en torno a la dependencia de UNC6201 de interfaces de red virtuales temporales, denominadas “NIC espantajo”, para suceder de las máquinas virtuales comprometidas a entornos internos o SaaS y luego eliminar esas NIC para cubrir las pistas en un esfuerzo por impedir los esfuerzos de investigación.
“De acuerdo con la campaña previo de BRICKSTORM, UNC6201 continúa apuntando a dispositivos que normalmente carecen de agentes tradicionales de detección y respuesta de puntos finales (EDR) para permanecer sin ser detectados durante largos períodos”, dijo Google.
Aún no está claro exactamente cómo se obtiene el acercamiento original, pero al igual que UNC5221, incluso se sabe que apunta a dispositivos de borde para ingresar a las redes de destino. Un disección de los dispositivos VMware vCenter comprometidos incluso descubrió comandos iptable ejecutados mediante el shell web para realizar el ulterior conjunto de acciones:
- Monitorear el tráfico entrante en el puerto 443 para una prisión HEX específica
- Agregue la dirección IP de origen de ese tráfico a una inventario y si la dirección IP está en la inventario y se conecta al puerto 10443, la conexión se ACEPTA
- Redirigir silenciosamente el tráfico posterior al puerto 443 al puerto 10443 durante los próximos 300 segundos (cinco minutos) si la IP está en la inventario aprobada
Adicionalmente, se descubrió que el actor de amenazas reemplazó los archivos binarios antiguos de BRICKSTORM con GRIMBOLT en septiembre de 2025. Si correctamente GRIMBOLT incluso proporciona una capacidad de shell remoto y utiliza el mismo comando y control (C2) que BRICKSTORM, no se sabe qué impulsó el cambio al malware más difícil de detectar, y si fue una transición planificada o una respuesta a divulgaciones públicas sobre BRICKSTORM.
“Los actores de amenazas de los estados-nación continúan apuntando a sistemas que comúnmente no admiten soluciones EDR, lo que hace que sea muy difícil para las organizaciones víctimas conocer que están comprometidas y prolonga significativamente los tiempos de permanencia de la intrusión”, dijo Carmakal.
La divulgación se produce cuando Dragos advirtió sobre ataques organizados por grupos chinos como Volt Typhoon (incluso conocido como Voltzite) para comprometer las puertas de enlace de Sierra Wireless Airlink ubicadas en los sectores eléctrico y de petróleo y gas, seguido de un giramiento a estaciones de trabajo de ingeniería para volcar datos de configuración y alarmas.
La actividad, según la empresa de ciberseguridad, tuvo extensión en julio de 2025. Se dice que el equipo de piratería obtiene acercamiento original de Sylvanite, que rápidamente convierte en arsenal las vulnerabilidades de los dispositivos de borde antaño de que se apliquen parches y cede el acercamiento para intrusiones de tecnología operativa (OT) más profundas.
“Voltzite fue más allá de la filtración de datos y pasó a la manipulación directa de las estaciones de trabajo de ingeniería para investigar qué provocaría la detención de los procesos”, dijo Dragos. “Esto representa la aniquilación de la última barrera ejercicio entre tener acercamiento y causar consecuencias físicas. Las puertas de enlace celulares crean vías no autorizadas en dirección a las redes OT sin suceder por los controles de seguridad tradicionales”.
