Un presunto clúster de amenazas relacionadas con el nexo de China, denominado clúster de amenazas del Nexo de China, ha aprovechado una vulnerabilidad de seguridad de máxima gravedad en Dell RecoverPoint para máquinas virtuales como un día cero UNC6201 desde mediados de 2024, según un nuevo informe de Google Mandiant y Google Threat Intelligence Group (GTIG).
La actividad implica la explotación del CVE-2026-22769 (puntuación CVSS: 10,0), un caso de credenciales codificadas de forma rígida que afecta a versiones anteriores a la 6.0.3.1 HF1. Otros productos, incluido RecoverPoint Classic, no son vulnerables a esta falla.
«Esto se considera crítico, ya que un atacante remoto no autenticado con conocimiento de la credencial codificada podría aprovechar esta vulnerabilidad y provocar un acceso no autorizado al sistema operativo subyacente y la persistencia a nivel raíz», dijo Dell en un boletín publicado el martes.
El problema afecta a los siguientes productos:
- RecoverPoint para máquinas virtuales versión 5.3 SP4 P1: migre de RecoverPoint for Virtual Machines 5.3 SP4 P1 a 6.0 SP3 y, a continuación, actualice a 6.0.3.1 HF1
- RecoverPoint para máquinas virtuales versiones 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 y 6.0 SP3 P1: actualización a 6.0.3.1 HF1
- RecoverPoint para máquinas virtuales, versiones 5.3 SP4, 5.3 SP3, 5.3 SP2 y anteriores: actualice a la versión 5.3 SP4 P1 o a una versión 6.x y, a continuación, aplique las correcciones necesarias
«Dell recomienda que RecoverPoint para máquinas virtuales se implemente en una red interna confiable y de acceso controlado, protegida por los firewalls y la segmentación de red adecuados», apuntado . «RecoverPoint para máquinas virtuales no está diseñado para usarse en redes públicas o que no sean de confianza».
adsenseSegún Google, la credencial codificada hace referencia a un usuario «administrador» de la instancia de Apache Tomcat Manager que se puede utilizar para autenticarse en el Dell RecoverPoint Tomcat Manager, cargar una consola web llamada SLAYSTYLE a través del punto final «/manager/text/deploy» y ejecutar comandos como root en el dispositivo para eliminar la puerta trasera de BRICKSTORM y su versión más reciente, denominada GRIMBOLT.
«Se trata de un backdoor de C# compilado mediante una compilación nativa anticipada (AOT), lo que dificulta la ingeniería inversa», dijo Charles Carmakal, de Mandiant adicional .
Google dijo a The Hacker News que la actividad se ha dirigido a organizaciones de toda Norteamérica, y que GRIMBOLT ha incorporado funciones para evadir mejor la detección y minimizar los rastros forenses en los huéspedes infectados. «GRIMBOLT es incluso mejor a la hora de combinarse con los archivos nativos del propio sistema», añade.
También se evalúa que la UNC6/201 comparte superposiciones con UNC5221 , otro grupo de espionaje relacionado con China conocido por su explotación de las tecnologías de virtualización y las vulnerabilidades de día cero de Ivanti a distribuir webshells y familias de malware como BEEFLUSH, BRICKSTORM y ZIPLINE.
A pesar de las similitudes tácticas, se considera que los dos grupos son distintos en esta etapa. Vale la pena señalar que CrowdStrike también ha vinculado el uso de BRICKSTORM con un tercer adversario alineado con China, rastreado como Panda Warp en ataques dirigidos a entidades estadounidenses.
Un aspecto destacable de la última serie de ataques gira en torno a la dependencia por parte de la UNC6201 de interfaces de red virtuales temporales (denominadas «NIC fantasmas») para pasar de las máquinas virtuales comprometidas a entornos internos o de SaaS y, a continuación, eliminar esas NIC para cubrir las pistas e impedir las iniciativas de investigación.
«De acuerdo con la campaña anterior de BRICKSTORM, la UNC6201 sigue apuntando a los dispositivos que normalmente carecen de los agentes tradicionales de detección y respuesta (EDR) para que permanezcan sin ser detectados durante largos períodos», afirma Google.
No está claro exactamente cómo se obtiene el acceso inicial, pero al igual que la UNC5221, también se sabe que se dirige a los dispositivos periféricos para entrar en las redes objetivo. También se ha descubierto un análisis de los dispositivos VMware vCenter comprometidos comandos iptable ejecutado por medio del shell web para realizar el siguiente conjunto de acciones -
- Supervise el tráfico entrante en el puerto 443 en busca de una cadena HEX específica
- Agregue la dirección IP de origen de ese tráfico a una lista y, si la dirección IP está en la lista y se conecta al puerto 10443, se ACEPTA la conexión.
- Redirija silenciosamente el tráfico subsiguiente al puerto 443 al puerto 10443 durante los próximos 300 segundos (cinco minutos) si la IP está en la lista aprobada
También se descubrió que el actor de amenazas reemplazó los antiguos archivos binarios de BRICKSTORM por GRIMBOLT en septiembre de 2025. Si bien GRIMBOLT también ofrece una función de consola remota y utiliza el mismo comando y control (C2) que BRICKSTORM, no se sabe qué motivó el cambio a un malware más difícil de detectar ni si se debió a una transición planificada o a una respuesta a las revelaciones públicas sobre BRICKSTORM.
enlaces«Los actores de amenazas de los estados nacionales siguen atacando sistemas que no suelen ser compatibles con las soluciones de EDR, lo que hace que sea muy difícil para las organizaciones víctimas saber que están en peligro y prolonga significativamente los tiempos de permanencia de las intrusiones», afirma Carmakal.
La revelación llega como Dragos prevenido de ataques organizados por grupos chinos como Tifón Volt (también conocido como Voltzita ) para comprometer las pasarelas Airlink de Sierra Wireless ubicadas en los sectores de la electricidad y el petróleo y el gas, y luego pasar a las estaciones de trabajo de ingeniería para volcar los datos de configuración y alarma.
La actividad, según la empresa de ciberseguridad, tuvo lugar en julio de 2025. Se dice que el equipo de piratas informáticos obtiene el acceso inicial de Sylvanite, que convierte rápidamente en armas las vulnerabilidades de los dispositivos periféricos antes de aplicar los parches y no permite el acceso a intrusiones más profundas en la tecnología operativa (OT).
«Voltzite fue más allá de la exfiltración de datos y pasó a manipular directamente las estaciones de trabajo de ingeniería para investigar qué podría provocar la detención de los procesos», dijo Dragos dijo . «Esto representa la eliminación de la última barrera práctica entre tener acceso y causar consecuencias físicas. Las pasarelas celulares crean vías no autorizadas hacia las redes de TO sin pasar por los controles de seguridad tradicionales».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS