Заподозряна държавно подкрепяна китайска хакерска група е извършвала тихи zero-day атаки срещу корпоративни среди, използвайки критична уязвимост в решение на Dell. Според изследователи от Mandiant и Google Threat Intelligence Group, групата UNC6201 експлоатира пропуск с максимална степен на опасност, започвайки още от средата на 2024 г.
Уязвимостта, проследявана като CVE-2026-22769, засяга Dell RecoverPoint for Virtual Machines – решение за архивиране и възстановяване на виртуални машини във VMware среди.
Критична уязвимост с вградени идентификационни данни
По данни на Dell, версии на RecoverPoint за виртуални машини преди 6.0.3.1 HF1 съдържат твърдо кодирани идентификационни данни, които могат да бъдат използвани от неавтентикиран отдалечен атакуващ. Това отваря път към неоторизиран достъп до операционната система, както и до устойчивост на ниво root.
Dell определя проблема като критичен и препоръчва незабавно обновяване или прилагане на наличните мерки за смекчаване, за да се прекъснат активните атаки.
Grimbolt – новият бекдор на UNC6201
След компрометиране на мрежата, атакуващите са внедрявали няколко зловредни полезни товара, включително нов бекдор, наречен Grimbolt. Малуерът е написан на C# и използва по-нова техника за компилация, която го прави по-бърз и значително по-труден за анализ в сравнение с предшественика му Brickstorm.
Изследователите отбелязват, че преходът от Brickstorm към Grimbolt е наблюдаван през септември 2025 г., но остава неясно дали това е било планирано технологично надграждане или реакция на активните действия по инцидентен отговор, водени от Mandiant и други партньори от индустрията.
Тиха инфилтрация чрез „призрачни“ мрежови интерфейси
UNC6201 е демонстрирала и иновативни техники за латерално придвижване във виртуализирани инфраструктури. Една от тях включва създаване на временни и скрити мрежови интерфейси – т.нар. Ghost NICs – върху VMware ESXi сървъри.
Тези „призрачни“ портове позволяват на атакуващите незабележимо да преминават от компрометирани виртуални машини към вътрешни или SaaS среди, без да задействат традиционни механизми за откриване. Според Mandiant, това е техника, която досега не е била наблюдавана в предишни разследвания.
Цел – системи без EDR защита
Както и в по-ранни кампании с Brickstorm, UNC6201 целенасочено атакува системи и аплайънси, които обикновено нямат внедрени EDR агенти. Това им позволява да останат незабелязани за дълги периоди, докато извличат информация или поддържат постоянен достъп.
Връзки с други китайски групи
Изследователите откриват припокривания между UNC6201 и друга китайска група – UNC5221, известна с експлоатирането на zero-day уязвимости в Ivanti и атаки срещу държавни институции. Макар двете групи да не се считат за идентични, GTIG ги свързва с по-широката екосистема на китайски държавно подкрепяни операции.
Допълнително, CrowdStrike е свързвала атаки с Brickstorm срещу VMware vCenter сървъри на компании от правния, технологичния и производствения сектор в САЩ с китайска група, която проследява под името Warp Panda.
Какво трябва да направят организациите
За да бъдат блокирани текущите атаки, Dell препоръчва на клиентите си стриктно да следват указанията за смекчаване и обновяване, публикувани в официалния бюлетин за сигурност. Организациите, използващи Dell RecoverPoint за виртуални машини, следва да приемат ситуацията като високорискова, особено ако управляват критични VMware среди.
