Los actores de amenazas están utilizando como arma una vulnerabilidad de día cero en Dell RecoverPoint para máquinas virtuales en una campaña de ciberataque que abre una novedosa puerta trasera. según nuevos hallazgos de Mandiant y Google Threat Intelligence Group.
El producto permite a los usuarios gestionar copias de seguridad y recuperación ante desastres para máquinas virtuales VMware.
La vulnerabilidad, catalogada como CVE-2026-22769, es una vulnerabilidad de credencial codificada que puede permitir que un atacante no autenticado obtenga acceso a un sistema subyacente y mantenga la persistencia a nivel de raíz. La vulnerabilidad tiene una puntuación de gravedad de 10.
Un actor de amenazas que Google rastrea como UNC6201 ha estado utilizando la falla en ataques desde al menos 2024, con la capacidad de mantener un acceso persistente, moverse lateralmente e implementar Brickstone, Slaystyle y una novedosa puerta trasera llamada Grimbolt.
La piedra de ladrillo es un puerta trasera escrita en Go que se utiliza para apuntar a servidores VMware vCentersegún los investigadores.
En estos ataques recientemente revelados, UNC6201 reemplazó el malware Brickstone con Gribolt, una puerta trasera que es más difícil de detectar.
«Esta es una puerta trasera de C# compilada usando compilación nativa anticipada, lo que dificulta la ingeniería inversa», dijo Charles Carmakal, CTO y asesor de la junta directiva de Mandiant Consulting. dijo en una publicación de LinkedIn.
Mandiant descubrió la vulnerabilidad mientras investigaba múltiples instancias de Dell RecoverPoint para VirtualMachines dentro del entorno de una víctima, según Austin Larsen, analista principal de amenazas de GTIG.
Larsen dijo que conocen menos de una docena de organizaciones afectadas, pero advirtió que las organizaciones que anteriormente fueron objetivo de Brickstorm deberían buscar Grimbolt en sus entornos.
Mientras tanto, Dell insta a los clientes a actualizar y aplicar las mitigaciones que proporcionó en un nuevo aviso.
«Hemos recibido un informe de explotación activa limitada de esta vulnerabilidad», dijo un portavoz de Dell a Cybersecurity Dive.
La empresa instó a los clientes a implementar inmediatamente una de las soluciones detallado en el aviso de seguridad.
Fuente