Een beveiligingsprobleem met de hoogste ernst in Dell RecoverPoint for Virtual Machines is als een zero-day uitgebuit door een vermoedelijk China-nexus-bedreigingscluster genaamd UNC6201 sinds medio 2024, volgens een nieuw rapport van Google Mandiant en Google Threat Intelligence Group (GTIG).
De activiteit omvat de exploitatie van CVE-2026-22769 (CVSS-score: 10,0), een geval van hardgecodeerde inloggegevens die van invloed zijn op versies vóór 6.0.3.1 HF1. Andere producten, waaronder RecoverPoint Classic, zijn niet kwetsbaar voor de fout.
“Dit wordt als cruciaal beschouwd omdat een niet-geverifieerde externe aanvaller met kennis van de hardgecodeerde inloggegevens potentieel deze kwetsbaarheid zou kunnen misbruiken, wat zou kunnen leiden tot ongeoorloofde toegang tot het onderliggende besturingssysteem en persistentie op rootniveau”, aldus Dell in een dinsdag uitgebracht bulletin.
Het probleem is van invloed op de volgende producten:
- RecoverPoint for Virtual Machines Versie 5.3 SP4 P1 – Migreer van RecoverPoint for Virtual Machines 5.3 SP4 P1 naar 6.0 SP3 en upgrade vervolgens naar 6.0.3.1 HF1
- RecoverPoint voor virtuele machines versies 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 en 6.0 SP3 P1 – Upgrade naar 6.0.3.1 HF1
- RecoverPoint voor virtuele machines versies 5.3 SP4, 5.3 SP3, 5.3 SP2 en eerder – Upgrade naar versie 5.3 SP4 P1 of een 6.x-versie en pas vervolgens het noodzakelijke herstel toe
“Dell raadt aan dat RecoverPoint for Virtual Machines wordt ingezet binnen een vertrouwd, toegangscontrolef intern netwerk dat wordt beschermd door geschikte firewalls en netwerksegmentatie”, aldus het rapport. “RecoverPoint for Virtual Machines is niet bedoeld voor gebruik op niet-vertrouwde of openbare netwerken.”
Volgens Google heeft de hardgecodeerde inloggegevens betrekking op een “admin”-gebruiker voor de Apache Tomcat Manager-instantie die kan worden gebruikt om te authenticeren bij de Dell RecoverPoint Tomcat Manager, een webshell met de naam SLAYSTYLE te uploaden via het “/manager/text/deploy”-eindpunt en opdrachten uit te voeren als root op het apparaat om de BRICKSTORM-backdoor en de nieuwere versie genaamd GRIMBOLT te verwijderen.
“Dit is een C#-achterdeur die is gecompileerd met behulp van native ahead-of-time (AOT)-compilatie, waardoor het moeilijker wordt om reverse-engineering uit te voeren”, voegde Charles Carmakal van Mandiant toe.
Google vertelde The Hacker News dat de activiteit zich richtte op organisaties in heel Noord-Amerika, waarbij GRIMBOLT functies bevat om detectie beter te omzeilen en forensische sporen op geïnfecteerde hosts te minimaliseren. “GRIMBOLT kan zelfs nog beter opgaan in de eigen systeembestanden”, voegde het eraan toe.
Er wordt ook geoordeeld dat UNC6201 overlap vertoont met UNC5221, een ander spionagecluster uit China dat bekend staat om zijn exploitatie van virtualisatietechnologieën en Ivanti zero-day-kwetsbaarheden om webshells en malwarefamilies zoals BEEFLUSH, BRICKSTORM en ZIPLINE te verspreiden.
Ondanks de tactische overeenkomsten worden de twee clusters in dit stadium als verschillend beschouwd. Het is vermeldenswaard dat het gebruik van BRICKSTORM ook door CrowdStrike in verband is gebracht met een derde aan China verbonden tegenstander, gevolgd als Warp Panda bij aanvallen gericht op Amerikaanse entiteiten.
Een opmerkelijk aspect van de nieuwste reeks aanvallen draait om de afhankelijkheid van UNC6201 van tijdelijke virtuele netwerkinterfaces – ook wel ‘Ghost NIC’s’ genoemd – om van gecompromitteerde virtuele machines naar interne of SaaS-omgevingen te gaan, en vervolgens die NIC’s te verwijderen om de sporen te verbergen in een poging onderzoeksinspanningen te belemmeren.
“In overeenstemming met de eerdere BRICKSTORM-campagne blijft UNC6201 zich richten op apparaten die doorgaans geen traditionele eindpuntdetectie- en responsagenten (EDR) hebben, zodat ze lange tijd onopgemerkt blijven”, aldus Google.
Hoe de initiële toegang precies wordt verkregen, blijft onduidelijk, maar net als UNC5221 is het ook bekend dat het zich richt op edge-apparaten om in te breken in doelnetwerken. Een analyse van de gecompromitteerde VMware vCenter-appliances heeft ook iptable-opdrachten blootgelegd die worden uitgevoerd door middel van de webshell om de volgende reeks acties uit te voeren:
- Controleer inkomend verkeer op poort 443 op een specifieke HEX-tekenreeks
- Voeg het bron-IP-adres van dat verkeer toe aan een lijst en als het IP-adres op de lijst staat en verbinding maakt met poort 10443, is de verbinding GEACCEPTEERD
- Leid daaropvolgend verkeer stil naar poort 443 naar poort 10443 gedurende de volgende 300 seconden (vijf minuten) als het IP-adres op de goedgekeurde lijst staat
Bovendien is gebleken dat de bedreigingsacteur in september 2025 oude binaire bestanden van BRICKSTORM heeft vervangen door GRIMBOLT. Hoewel GRIMBOLT ook externe shell-mogelijkheden biedt en dezelfde command-and-control (C2) gebruikt als BRICKSTORM, is het niet bekend wat de aanleiding was voor de overstap naar de moeilijker te detecteren malware, en of het een geplande transitie was of een reactie op publieke onthullingen over BRICKSTORM.
“Acteurs van natiestaten blijven zich richten op systemen die doorgaans geen EDR-oplossingen ondersteunen, waardoor het voor slachtofferorganisaties erg moeilijk wordt om te weten dat ze zijn gecompromitteerd en de verblijftijd van indringers aanzienlijk wordt verlengd”, aldus Carmakal.
De onthulling komt terwijl Dragos waarschuwde voor aanvallen van Chinese groepen als Volt Typhoon (ook bekend als Voltzite) om Sierra Wireless Airlink-gateways in de elektriciteits- en olie- en gassector in gevaar te brengen, gevolgd door het overschakelen naar technische werkstations om configuratie- en alarmgegevens te dumpen.
De activiteit vond volgens het cyberbeveiligingsbedrijf plaats in juli 2025. De hackploeg zou aanvankelijke toegang verkrijgen van Sylvanite, dat snel kwetsbaarheden in edge-apparaten bewapent voordat patches worden toegepast en de toegang overdraagt voor diepere operationele technologie (OT)-inbraken.
“Voltzite ging verder dan data-exfiltratie en richtte de manipulatie van technische werkstations op, waarbij werd onderzocht wat de oorzaak zou zijn van het stoppen van processen”, aldus Dragos. “Dit vertegenwoordigt het wegnemen van de laatste praktische barrière tussen het hebben van toegang en het veroorzaken van fysieke gevolgen. Mobiele gateways creëren ongeautoriseerde paden naar OT-netwerken, waarbij traditionele beveiligingscontroles worden omzeild.”
