Souhrn
Podezřelá skupina hackerů UNC6201, spojovaná s čínským státem, exploituje zero-day zranitelnost CVE-2026-22769 v Dell RecoverPoint for Virtual Machines od poloviny 2024. Tato kritická chyba umožňuje neověřenému útočníkovi získat root přístup k operačnímu systému. Bezpečnostní výzkumníci z Mandiant a Google Threat Intelligence Group odhalili útoky, včetně nasazení nového backdooru Grimbolt a skrývání v infrastruktuře VMware.
Klíčové body
- Zranitelnost CVE-2026-22769: pevně zakódované přihlašovací údaje v Dell RecoverPoint for Virtual Machines (verze před 6.0.3.1 HF1), umožňující neověřený root přístup.
- Malware Grimbolt: nový backdoor v C#, rychlejší a obtížněji analyzovatelný než předchozí Brickstorm, nasazený od září 2025.
- Technika Ghost NICs: dočasná skrytá síťová rozhraní na VMware ESXi serverech pro nenápadný pohyb v síti.
- Doporučení Della: okamžité aktualizace na verzi 6.0.3.1 HF1 nebo aplikace nápravných opatření.
- Cíle: VMware ESXi servery v podnikových sítích pro dlouhodobou přetrvávající přítomnost.
Podrobnosti
Dell RecoverPoint for Virtual Machines je řešení pro zálohování a obnovu virtuálních strojů na platformě VMware, které firmy používají k ochraně dat před výpadky nebo útoky. Verze před 6.0.3.1 HF1 obsahují pevně zakódované přihlašovací údaje, což je maximum-severity chyba (CVSS skóre 10). Neověřený útočník s znalostí těchto údajů může získat plný root přístup k podkladovému operačnímu systému, což vede k trvalé přítomnosti v síti.
Skupina UNC6201, identifikovaná Mandiant a GTIG, začala útoky v polovině 2024. Po průniku nasadila malware Grimbolt, napsaný v C# s novou kompilací, která zrychluje provádění a ztěžuje reverzní inženýrství oproti staršímu Brickstormu. Přechod na Grimbolt proběhl v září 2025, možná jako reakce na detekci Mandiantem. Tento backdoor slouží k udržení přístupu, exfiltraci dat a dalšímu šíření.
Útočníci navíc vytvářejí Ghost NICs – dočasné virtuální síťové porty na VMware ESXi serverech, které umožňují nenápadný laterální pohyb bez detekce standardními nástroji. VMware ESXi je hypervizor pro virtualizaci serverů, široce používaný v datových centrech. Tyto techniky cílí na virtualizovanou infrastrukturu, kde se skrývají před bezpečnostními systémy.
Dell vydal bezpečnostní bulletin 17. února 2026 a doporučuje upgrade nebo izolaci systémů. Mandiant varuje, že útoky probíhají tiše, bez viditelných stop, což zvyšuje riziko pro firmy s VMware prostředím.
Proč je to důležité
Tato zero-day kampaň odhaluje slabiny v enterprise virtualizačních řešeních, kde hardcoded credentials představují základní bezpečnostní selhání. Pro firmy s Dell RecoverPoint a VMware hrozí dlouhodobá infiltrace čínskými aktéry, což může vést k odcizení citlivých dat nebo sabotáži. V kontextu rostoucích státních kyberoperací (např. Volt Typhoon) to zdůrazňuje nutnost pravidelných auditů credentials a segmentace sítí. Bezpečnostní firmy jako Mandiant ukazují, že detekce je obtížná kvůli pokročilým technikám, což nutí průmysl k lepšímu monitoringu ESXi a rychlým patchům. Globálně to signalizuje eskalaci zero-day exploitů proti kritické infrastruktuře.
Zdroj: 📰 BleepingComputer
