Una vulnerabilidad de seguridad de máxima gravedad en Dell RecoverPoint para máquinas virtuales ha sido explotada como día cero por un grupo de amenazas sospechoso vinculado a China conocido como UNC6201 desde mediados de 2024, según un nuevo informe de Google Mandiant y Google Threat Intelligence Group (GTIG).
Esta actividad implica la explotación de CVE-2026-22769 (puntuación CVSS: 10.0), un caso de credenciales codificadas que afectan a versiones anteriores a 6.0.3.1 HF1. Ningún otro producto, incluido RecoverPoint Classic, es vulnerable a esta falla.
«Esto se considera importante porque un atacante remoto no autenticado con conocimiento de credenciales codificadas podría explotar esta vulnerabilidad para obtener acceso no autorizado al sistema operativo subyacente o lograr persistencia a nivel de raíz», dijo Dell en un boletín de seguridad publicado el martes.
Este problema afecta a los siguientes productos:
RecoverPoint for Virtual Machines versión 5.3 SP4 P1: migre de RecoverPoint for Virtual Machines 5.3 SP4 P1 a 6.0 SP3 y luego actualice a 6.0.3.1 HF1 RecoverPoint for Virtual Machines versiones 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 y 6.0 SP3 P1 – 6.0.3.1 HF1 RecoverPoint para máquinas virtuales Actualización a las versiones 5.3 SP4, 5.3 SP3, 5.3 SP2 y anteriores: actualice a la versión 5.3 SP4 P1 o 6.x y aplique cualquier corrección necesaria.
«Dell recomienda implementar RecoverPoint para máquinas virtuales dentro de una red interna confiable y con acceso controlado, protegida por firewalls y segmentación de red adecuados». «RecoverPoint for Virtual Machines no está diseñado para su uso en redes públicas o que no sean de confianza».
Según Google, las credenciales codificadas están relacionadas con el usuario «admin» en la instancia de Apache Tomcat Manager, que se utiliza para autenticarse en Dell RecoverPoint Tomcat Manager, que puede cargar un shell web llamado SLAYSTYLE a través del punto final «/manager/text/deploy» y ejecutar comandos como root en el dispositivo para eliminar la puerta trasera BRICKSTORM y su nueva versión llamada GRIMBOLT.
«Esta es una puerta trasera de C# compilada usando compilación AOT (Ahead-of-Time) nativa, lo que dificulta la ingeniería inversa», agregó Charles Carmakal de Mandiant.
Google dijo a The Hacker News que la campaña está dirigida a organizaciones de toda América del Norte y que GRIMBOLT tiene capacidades integradas para evadir con éxito la detección y minimizar la huella forense en los hosts infectados. «GRIMBOLT se integra aún mejor con los archivos nativos del sistema», añadió.
Se considera que UNC6201 es un duplicado de UNC5221, otro grupo de espionaje alineado con China conocido por explotar la tecnología de virtualización y las vulnerabilidades de día cero de Ivanti para distribuir shells web y familias de malware como BEEFLUSH, BRICKSTORM y ZIPLINE.
A pesar de sus similitudes tácticas, actualmente los dos grupos se consideran distintos. También vale la pena señalar que CrowdStrike ha vinculado el uso de BRICKSTORM con un tercer adversario alineado con China que está siendo rastreado como Warp Panda por ataques dirigidos a empresas estadounidenses.
Un aspecto notable de la última ronda de ataques gira en torno a la dependencia de UNC6201 de interfaces de red virtuales temporales (denominadas «NIC fantasma») para migrar desde máquinas virtuales comprometidas a entornos internos o SaaS y luego eliminar estas NIC para cubrir sus huellas y frustrar los esfuerzos de investigación.
«Al igual que en campañas anteriores de BRICKSTORM, UNC6201 continúa apuntando a dispositivos que normalmente carecen de agentes tradicionales de detección y respuesta de puntos finales (EDR) y permanecen sin ser detectados durante largos períodos de tiempo», dijo Google.
Aún se desconoce exactamente cómo se obtiene el acceso inicial, pero al igual que UNC5221, también se sabe que apunta a dispositivos periféricos para infiltrarse en las redes de destino. El análisis del dispositivo VMware vCenter comprometido también reveló comandos iptable que se ejecutan mediante un shell web para realizar la siguiente secuencia de acciones:
Supervise el tráfico entrante en el puerto 443 para cadenas hexadecimales específicas. Agregue la dirección IP de origen de ese tráfico a la lista. Si su dirección IP está en la lista y se está conectando al puerto 10443, su conexión será aceptada. Si la IP está en la lista aprobada, redirige silenciosamente el tráfico posterior desde el puerto 443 al puerto 10443 durante los siguientes 300 segundos (5 minutos).
También se descubrió que el actor de amenazas reemplazó los archivos binarios antiguos de BRICKSTORM con GRIMBOLT en septiembre de 2025. GRIMBOLT también proporciona funcionalidad de shell remoto y utiliza el mismo comando y control (C2) que BRICKSTORM, pero no está claro qué impulsó la transición a un malware más difícil de detectar, si fue una transición planificada o en respuesta a divulgaciones públicas sobre BRICKSTORM.
«Los actores de amenazas de los estados-nación continúan apuntando a sistemas que normalmente no admiten soluciones EDR, lo que hace mucho más difícil para las organizaciones víctimas notar violaciones de seguridad y aumenta significativamente el tiempo de permanencia de las intrusiones», dijo Carmakal.
La divulgación se produce cuando Dragos advirtió sobre ataques de grupos chinos como Bolt Typhoon (también conocido como Voltuzite) que comprometieron las puertas de enlace de Sierra Wireless Airlink en el sector eléctrico, de petróleo y gas, y luego se dirigieron a estaciones de trabajo de ingeniería y volcaron datos de configuración y alarmas.
Según la empresa de ciberseguridad, esta actividad tuvo lugar en julio de 2025. Se dice que el equipo de hackers obtuvo acceso inicial de Sylvanite y rápidamente armará las vulnerabilidades en los dispositivos de borde antes de que puedan ser parchados, cortando el acceso a penetraciones más profundas de tecnología operativa (OT).
«Voltzite fue más allá de las filtraciones de datos para interactuar directamente con las estaciones de trabajo de ingeniería para investigar qué podría desencadenar una interrupción del proceso», dijo Dragos. «Esto significa que se elimina la última barrera práctica entre tener acceso y causar un impacto físico. Las puertas de enlace celulares eluden los controles de seguridad tradicionales y crean un camino no autorizado hacia la red OT».
Source link
