Una vulnerabilidad de seguridad de máxima severidad en Dell RecoverPoint for Virtual Machines ha sido explotada como día cero por un grupo de amenazas sospechoso de estar vinculado a China, denominado UNC6201, desde mediados de 2024, según un nuevo informe de Google Mandiant y Google Threat Intelligence Group (GTIG).

La actividad implica la explotación de CVE-2026-22769 (puntuación CVSS: 10.0), un caso de credenciales codificadas que afecta a versiones anteriores a 6.0.3.1 HF1. Otros productos, incluido RecoverPoint Classic, no son vulnerables al fallo.

"Esto se considera crítico ya que un atacante remoto no autenticado con conocimiento de la credencial codificada podría explotar esta vulnerabilidad, lo que lleva a un acceso no autorizado al sistema operativo subyacente y persistencia a nivel de root", dijo Dell en un boletín publicado el martes.

El problema afecta a los siguientes productos:

  • RecoverPoint for Virtual Machines Versión 5.3 SP4 P1 - Migrar de RecoverPoint for Virtual Machines 5.3 SP4 P1 a 6.0 SP3 y luego actualizar a 6.0.3.1 HF1
  • RecoverPoint for Virtual Machines Versiones 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 y 6.0 SP3 P1 - Actualizar a 6.0.3.1 HF1
  • RecoverPoint for Virtual Machines Versiones 5.3 SP4, 5.3 SP3, 5.3 SP2 y anteriores - Actualizar a la versión 5.3 SP4 P1 o una versión 6.x y luego aplicar la corrección necesaria

"Dell recomienda que RecoverPoint for Virtual Machines se implemente dentro de una red interna confiable y controlada por acceso, protegida por firewalls y segmentación de red adecuados", señaló. "RecoverPoint for Virtual Machines no está diseñado para su uso en redes no confiables o públicas".

"Estamos al tanto de menos de una docena de organizaciones afectadas, pero debido a que se desconoce la escala completa de esta campaña, recomendamos que las organizaciones previamente atacadas por BRICKSTORM busquen GRIMBOLT en sus entornos", dijo Rich Reece, Gerente de Consultoría de Mandiant en Google Cloud, a The Hacker News por correo electrónico.

Mandiant dijo que descubrió CVE-2026-22769 a principios de este año mientras investigaba múltiples Dell RecoverPoint for Virtual Machines en el entorno de una víctima no especificada.

"Es probable que el actor todavía esté activo en entornos sin parches o con parches aplicados, y debido a que la explotación ha estado ocurriendo desde mediados de 2024, ha tenido tiempo significativo para establecer persistencia y llevar a cabo espionaje a largo plazo", dijo Reece. "Anticipamos que más empresas encontrarán compromisos activos o históricos a medida que comiencen a buscar utilizando los nuevos IOC/reglas YARA que publicamos".

Según Google, la credencial codificada se relaciona con un usuario "admin" para la instancia de Apache Tomcat Manager que podría usarse para autenticarse en Dell RecoverPoint Tomcat Manager, cargar un web shell llamado SLAYSTYLE a través del endpoint "/manager/text/deploy" y ejecutar comandos como root en el aparato para dejar el backdoor BRICKSTORM y su versión más nueva llamada GRIMBOLT.

"Este es un backdoor en C# compilado mediante compilación nativa ahead-of-time (AOT), lo que dificulta la ingeniería inversa", agregó Charles Carmakal de Mandiant.

Google dijo a The Hacker News que la actividad ha atacado organizaciones en toda América del Norte, con GRIMBOLT incorporando características para evadir mejor la detección y minimizar los rastros forenses en los hosts infectados. "GRIMBOLT es aún mejor para mezclarse con los archivos nativos del sistema", agregó.

También se evalúa que UNC6201 comparte superposiciones con UNC5221, otro grupo de espionaje vinculado a China conocido por explotar tecnologías de virtualización y vulnerabilidades de día cero de Ivanti para distribuir web shells y familias de malware como BEEFLUSH, BRICKSTORM y ZIPLINE.

A pesar de las similitudes tácticas, se evalúa que los dos grupos son distintos en esta etapa. Vale la pena señalar que el uso de BRICKSTORM también ha sido vinculado por CrowdStrike a un tercer adversario alineado con China, rastreado como Warp Panda (también conocido como Clay Typhoon y Storm-2416), en ataques dirigidos a entidades estadounidenses.

Un aspecto notable del conjunto más reciente de ataques gira en torno a la dependencia de UNC6201 en interfaces de red virtuales temporales, denominadas "Ghost NICs", para pivotar desde máquinas virtuales comprometidas hacia entornos internos o SaaS, y luego eliminar esas NICs para cubrir las pistas y dificultar los esfuerzos de investigación.

"De manera consistente con la campaña anterior de BRICKSTORM, UNC6201 continúa atacando aparatos que típicamente carecen de agentes tradicionales de detección y respuesta en endpoints (EDR) para permanecer sin ser detectados durante largos períodos", dijo Google.

Exactamente cómo se obtiene el acceso inicial no está claro, pero al igual que UNC5221, también se sabe que ataca aparatos periféricos para irrumpir en las redes objetivo. Un análisis de los aparatos VMware vCenter comprometidos también ha descubierto comandos iptable ejecutados a través del web shell para realizar el siguiente conjunto de acciones:

  • Monitorear el tráfico entrante en el puerto 443 en busca de una cadena HEX específica
  • Agregar la dirección IP de origen de ese tráfico a una lista y si la dirección IP está en la lista y se conecta al puerto 10443, se ACEPTA la conexión
  • Redirigir silenciosamente el tráfico posterior del puerto 443 al puerto 10443 durante los siguientes 300 segundos (cinco minutos) si la IP está en la lista aprobada

Además, se ha encontrado que el actor de amenazas reemplazó binarios antiguos de BRICKSTORM con GRIMBOLT en septiembre de 2025. Si bien GRIMBOLT también proporciona una capacidad de shell remoto y utiliza el mismo comando y control (C2) que BRICKSTORM, no se sabe qué motivó el cambio al malware más difícil de detectar, y si fue una transición planificada o una respuesta a divulgaciones públicas sobre BRICKSTORM.

"Los actores de amenazas de estados nacionales continúan atacando sistemas que no suelen soportar soluciones EDR, lo que dificulta mucho que las organizaciones víctimas sepan que están comprometidas y prolonga significativamente los tiempos de permanencia de las intrusiones", dijo Carmakal.

La divulgación se produce cuando Dragos advirtió sobre ataques montados por grupos chinos como Volt Typhoon (también conocido como Voltzite) para comprometer gateways Sierra Wireless Airlink ubicados en los sectores eléctrico y de petróleo y gas, seguido de un pivote a estaciones de trabajo de ingeniería para volcar datos de configuración y alarmas.

La actividad, según la compañía de ciberseguridad, tuvo lugar en julio de 2025. Se dice que el grupo de piratas informáticos obtiene acceso inicial de Sylvanite, que rápidamente weaponiza vulnerabilidades de dispositivos periféricos antes de que se apliquen parches y entrega el acceso para intrusiones más profundas en tecnología operativa (OT).

"Voltzite pasó de la exfiltración de datos a la manipulación directa de estaciones de trabajo de ingeniería investigando qué provocaría la detención de procesos", dijo Dragos. "Esto representa la eliminación de la última barrera práctica entre tener acceso y causar consecuencias físicas. Los gateways celulares crean vías no autorizadas hacia redes OT, saltándose los controles de seguridad tradicionales".

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el 18 de febrero de 2026, agregó CVE-2026-22769 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), requiriendo que las agencias de la Rama Ejecutiva Civil Federal (FCEB) apliquen el parche antes del 21 de febrero de 2026.

En un análisis de seguimiento publicado el 5 de marzo de 2026, Team Cymru arrojó más luz sobre la infraestructura C2 asociada con GRIMBOLT, utilizando el valor del campo de sujeto de un certificado X.509 para la dirección IP 149.248.11[.]71 – CN=WIN-DO6FVJH67FN – para descubrir direcciones IP adicionales que usan el mismo certificado: 140.82.18[.]134 y 66.42.111[.]219.

"El análisis de estas direcciones IP reveló que también están ubicadas en el mismo proveedor de VPS (Vultr) debido a que su número de sistema autónomo (ASN) es el mismo en sus registros WHOIS", dijo el investigador de seguridad Will Thomas. "Además, estas dos direcciones IP adicionales también tenían el mismo puerto 3389 (RDP) abierto".

"La superposición de un certificado X509 criptográficamente idéntico, enrutamiento de sistema autónomo (ASN) coincidente y perfiles de puertos abiertos correlacionados indica firmemente el uso de imágenes de máquina virtual clonadas o un script de aprovisionamiento automatizado por parte del actor de amenazas en un único proveedor de VPS, Vultr".

(La historia se actualizó después de la publicación el 6 de marzo de 2026, con nuevos conocimientos de Team Cymru.)

Dell RecoverPoint
Dell RecoverPoint
Cybersecurity
Cybersecurity
Cybersecurity
Cybersecurity