Hackers chinos explotan la falla de día cero de Dell desde mediados de 2024

AXCESS · Febrero 17, 2026, 10:34:23 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un presunto grupo de piratería respaldado por el estado chino ha estado explotando silenciosamente una falla de seguridad crítica de Dell en ataques de día cero que comenzaron a mediados de 2024.

Los investigadores de seguridad de Mandiant y Google Threat Intelligence Group (GTIG) revelaron hoy que el grupo UNC6201 aprovechó una vulnerabilidad de credencial codificada de gravedad máxima ( rastreada como CVE-2026-22769 ) en Dell RecoverPoint para máquinas virtuales, una solución utilizada para la copia de seguridad y recuperación de máquinas virtuales VMware.

"Dell RecoverPoint para máquinas virtuales, versiones anteriores a 6.0.3.1 HF1, contienen una vulnerabilidad de credencial codificada", explica Dell en un aviso de seguridad publicado el martes.

"Esto se considera crítico ya que un atacante remoto no autenticado con conocimiento de la credencial codificada podría explotar esta vulnerabilidad y conducir a un acceso no autorizado al sistema operativo subyacente y a la persistencia a nivel de raíz. Dell recomienda que los clientes actualicen o apliquen una de las soluciones lo antes posible".

Una vez dentro de la red de una víctima, UNC6201 implementó varias cargas útiles de malware, incluido un malware de puerta trasera recientemente identificado llamado Grimbolt. Escrito en C# y creado utilizando una técnica de compilación relativamente nueva, este malware está diseñado para ser más rápido y más difícil de analizar que su predecesor, una puerta trasera llamada Brickstorm.

Si bien los investigadores observaron que el grupo cambió Brickstorm por Grimbolt en septiembre de 2025, no está claro si el cambio fue una actualización planificada o "una reacción a los esfuerzos de respuesta a incidentes liderados por Mandiant y otros socios de la industria".

Apuntando a servidores VMware ESXi

Los atacantes también utilizaron técnicas novedosas para profundizar en la infraestructura virtualizada de las víctimas, incluida la creación de interfaces de red ocultas (las llamadas NIC fantasma) en servidores VMware ESXi para moverse sigilosamente a través de las redes de las víctimas.

"UNC6201 utiliza puertos de red virtuales temporales (también conocidos como "NIC fantasma") para pasar de máquinas virtuales comprometidas a entornos internos o SaaS, una nueva técnica que Mandiant no ha observado antes en sus investigaciones", dijo el gerente de comunicaciones de Mandiant, Mark Karayan.

"En consonancia con la campaña anterior de BRICKSTORM, UNC6201 continúa apuntando a dispositivos que normalmente carecen de agentes tradicionales de detección y respuesta de terminales (EDR) para permanecer sin ser detectados durante largos períodos".

Los investigadores han encontrado superposiciones entre UNC6201 y un grupo de amenazas chino separado, UNC5221, conocido por explotar los días cero de Ivanti para atacar agencias gubernamentales con malware personalizado Spawnant y Zipline y anteriormente vinculado al notorio grupo de amenazas respaldado por el estado chino Silk Typhoon (aunque GTIG no considera que los dos sean idénticos).

GTIG agregó en septiembre que los piratas informáticos UNC5221 utilizaron Brickstorm (documentado por primera vez por Mandiant, filial de Google, en abril de 2024) para obtener persistencia a largo plazo en las redes de múltiples organizaciones estadounidenses en los sectores legal y tecnológico, mientras que CrowdStrike ha vinculado los ataques de malware Brickstorm dirigidos a servidores VMware vCenter de empresas legales, tecnológicas y de fabricación en los Estados Unidos con un grupo de piratas informáticos chino al que rastrea como Warp Panda.

Para bloquear los ataques CVE-2026-22769 en curso, se recomienda a los clientes de Dell que sigan la guía de solución compartida en este aviso de seguridad.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hackers chinos explotan la falla de día cero de Dell desde mediados de 2024

AXCESS

Febrero 17, 2026, 10:34:23 PM