Vulnerabilidade crítica zero-day em plataforma de recuperação explorada por grupo ligado à China

Uma vulnerabilidade zero-day no Dell RecoverPoint for Virtual Machines foi explorada por um grupo de ciberespionagem com ligações à China desde, pelo menos, meados de 2024. A revelação foi feita pela Google Threat Intelligence Group (GTIG) e pela Mandiant, que atribuíram a exploração da falha ao ator de ameaça identificado como UNC6201.

A vulnerabilidade, catalogada como CVE-2026-22769, afeta versões do RecoverPoint for Virtual Machines anteriores à 6[.]0[.]3[.]1 HF1 e resulta da utilização de credenciais hardcoded. Segundo a Dell, um atacante remoto não autenticado, desde que tenha conhecimento dessas credenciais embutidas, poderá obter acesso não autorizado ao sistema operativo subjacente e estabelecer persistência com privilégios de root, motivo pelo qual a falha é classificada como crítica.

O RecoverPoint for Virtual Machines integra a oferta de proteção de dados da Dell, assegurando resiliência e recuperação de desastres para máquinas virtuais VMware, o que torna este vetor particularmente relevante em ambientes empresariais críticos.

De acordo com o relatório, o grupo UNC6201 utilizou a vulnerabilidade para movimentação lateral, manutenção de persistência e implementação de malware. Embora esta seja a primeira referência pública a este grupo, os investigadores identificaram ligações ao UNC5221, um APT associado à China conhecido por manter presença prolongada em redes comprometidas para recolha de informação estratégica.

Entre as ferramentas utilizadas estão o malware BrickStorm, previamente atribuído ao UNC5221, e um novo backdoor designado GrimBolt, que começou a substituir o primeiro a partir de setembro de 2025. Desenvolvido em C# e compilado com tecnologia native ahead-of-time (AOT), além de protegido com UPX, o GrimBolt dificulta a análise e oferece capacidades de shell remota. Também foi identificado o uso de uma web shell denominada SlayStyle.

Os investigadores destacam ainda uma técnica particularmente evasiva: a criação de “ghost NIC” em máquinas virtuais. Após a execução das atividades maliciosas, os atacantes removiam essas interfaces de rede virtuais, tornando a intrusão mais difícil de detetar e investigar.

O método inicial de acesso ainda não foi confirmado, mas uma das hipóteses mais prováveis aponta para a exploração de appliances expostos na periferia da rede.

Num comentário público, Charles Carmakal, CTO da Mandiant, alertou que “os atores estatais continuam a visar sistemas que normalmente não suportam soluções EDR, o que dificulta significativamente a deteção das intrusões e prolonga o tempo de permanência nas redes comprometidas”.

A Dell recomenda a atualização imediata para a versão corrigida do RecoverPoint for Virtual Machines. A GTIG e a Mandiant disponibilizaram indicadores de compromisso (IoC) para apoiar equipas de segurança na identificação de possíveis compromissos.