Um grupo de hackers suspeito de ter ligação com o governo chinês vem explorando silenciosamente uma vulnerabilidade crítica da Dell em ataques zero-day iniciados em meados de 2024.
Pesquisadores de segurança da Mandiant e do Google Threat Intelligence Group (GTIG) revelaram que o grupo UNC6201 aproveita uma falha grave de credenciais hardcoded (rastreada como
CVE-2026-22769
) no Dell RecoverPoint for Virtual Machines, uma solução usada para backup e recuperação de máquinas virtuais VMware.
Segundo a Dell, em um aviso de segurança publicado na última terça-feira, “as versões do Dell RecoverPoint for Virtual Machines anteriores à 6.0.3.1 HF1 possuem uma vulnerabilidade com credenciais hardcoded”.
A empresa alerta que, caso um atacante remoto e não autenticado conheça essas credenciais, ele pode explorar a falha para obter acesso não autorizado ao sistema operacional subjacente e garantir persistência com privilégios de root.
Por isso, a recomendação é que os clientes atualizem o software ou apliquem as remediações indicadas o quanto antes.
Dentro da rede das vítimas, o grupo UNC6201 implantou diversos malwares, incluindo um backdoor recém-identificado chamado Grimbolt.
Desenvolvido em C# e criado com uma técnica de compilação mais moderna, o Grimbolt foi projetado para ser mais rápido e mais difícil de analisar do que seu antecessor, o backdoor Brickstorm.
Os pesquisadores notaram que, em setembro de 2025, o grupo passou a usar o Grimbolt no lugar do Brickstorm, mas ainda não está claro se essa troca fez parte de um upgrade planejado ou de uma resposta às ações de resposta a incidentes conduzidas pela Mandiant e parceiros do setor.
Além disso, os atacantes adotaram técnicas inéditas para se aprofundar na infraestrutura virtualizada das vítimas.
Entre elas está a criação de interfaces de rede ocultas (conhecidas como Ghost NICs) em servidores VMware ESXi.
Essa tática permite movimentação furtiva dentro da rede comprometida.
Mark Karayan, gerente de comunicação da Mandiant, explicou “O UNC6201 usa portas virtuais temporárias (ou ‘Ghost NICs’) para pivotar de máquinas virtuais comprometidas para ambientes internos ou SaaS, uma técnica nova que não havíamos observado antes”.
Ele ressaltou que, seguindo a linha da campanha anterior com Brickstorm, o grupo continua mirando dispositivos que geralmente não possuem agentes tradicionais de Endpoint Detection and Response (EDR), o que facilita sua permanência oculta por longos períodos.
A investigação também apontou conexões entre UNC6201 e outro grupo chinês, o UNC5221, conhecido por explorar zero-days da Ivanti para atacar agências governamentais usando malwares customizados como Spawnant e Zipline.
Esse segundo grupo foi anteriormente associado ao conhecido ator de ameaça chinês Silk Typhoon, embora o GTIG não os considere o mesmo.
Em setembro, o GTIG divulgou que hackers do UNC5221 usaram o Brickstorm para garantir persistência de longo prazo em redes de várias organizações americanas dos setores jurídico e tecnológico.
Já a CrowdStrike vinculou ataques com o malware Brickstorm contra servidores VMware vCenter em empresas dos setores jurídico, tecnológico e manufatureiro dos EUA a um grupo chinês chamado Warp Panda.
Para evitar ataques que exploram a
CVE-2026-22769
, a Dell orienta seus clientes a seguir as recomendações de remediação detalhadas no aviso de segurança divulgado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...