A mediados de 2024 comenzó una campaña silenciosa que ahora investigadores de seguridad han relacionado con un grupo que se sospecha está respaldado por el estado chino. Ese actor aprovechó una falla crítica en un producto de Dell para entrar en redes corporativas y mantener persistencia profunda en entornos virtualizados.
La vulnerabilidad en cuestión es una credencial incrustada en el código de Dell RecoverPoint for Virtual Machines, una solución destinada a proteger y recuperar máquinas virtuales en VMware. La falla está registrada como CVE-2026-22769 y afecta a versiones anteriores a la 6.0.3.1 HF1. Dell ha publicado una nota de seguridad en la que recomienda actualizar o aplicar las mitigaciones lo antes posible, porque un atacante sin autenticación previa que conozca esa credencial puede obtener acceso al sistema operativo subyacente y establecer persistencia con privilegios root.
Los equipos de Google Threat Intelligence Group (GTIG) y Mandiant describen cómo el grupo bautizado como UNC6201 aprovechó este vector para implantar varios cargadores y puertas traseras. Entre ellos destaca una familia nueva llamada Grimbolt, escrita en C# y compilada con una técnica relativamente reciente para hacerla más rápida y dificultar su análisis estático y dinámico. Grimbolt parece haber sustituido a otra puerta trasera conocida como Brickstorm en septiembre de 2025, aunque no está claro si esa transición fue una mejora planificada o una reacción a operaciones de respuesta por parte de Mandiant y otros equipos de la industria.
Lo inquietante no es solo la explotación inicial, sino también cómo los atacantes amplificaron sus capacidades dentro de infraestructuras virtualizadas. Los investigadores observaron el uso de interfaces de red virtuales temporales, denominadas coloquialmente “Ghost NICs”, en servidores VMware ESXi. Estas interfaces efímeras permiten a los atacantes pivotar desde máquinas virtuales comprometidas hacia recursos internos o incluso hacia servicios SaaS sin dejar los indicadores típicos de movimiento lateral, lo que las convierte en una técnica novedosa y difícil de detectar.
Otro aspecto que facilita estas intrusiones es la elección de objetivos: appliances y dispositivos que normalmente no llevan agentes tradicionales de detección y respuesta (EDR). Al dirigirse a componentes de infraestructura que carecen de protección endpoint estándar, los atacantes logran permanecer sin detectar durante periodos prolongados, haciendo más costosa y compleja la contención.
Las trazas de estas operaciones también muestran solapamientos con otra familia de amenazas rastreada como UNC5221, asociada previamente a explotación de vulnerabilidades en productos Ivanti y vinculada por algunos analistas a campañas estatales chinas como Silk Typhoon. En abril de 2024 Mandiant documentó el uso de Brickstorm en ciertos ataques dirigidos a clientes de Ivanti, y empresas de seguridad como CrowdStrike han relacionado operaciones que usaban Brickstorm con un actor al que denominan Warp Panda, que atacó servidores VMware vCenter y otros objetivos en sectores como el legal, tecnológico y manufacturero.
Para los equipos de seguridad y administradores de sistemas la noticia tiene varias implicaciones prácticas: en primer lugar, seguir la guía de Dell y priorizar la actualización a versiones parcheadas o aplicar las mitigaciones propuestas. Dell publicó instrucciones concretas y listados de productos afectados en su avisos de seguridad. En segundo lugar, conviene revisar el acceso a interfaces de gestión y sistemas de backup, limitar su exposición a redes no confiables y forzar controles de autenticación fuertes y segmentación de red.
También es importante monitorizar activamente indicadores de compromiso: buscar procesos o binarios inusuales en sistemas vinculados a RecoverPoint, revisar logs de ESXi en busca de creación de puertos virtuales temporales y analizar el tráfico lateral entre máquinas virtuales que podría delatar el uso de Ghost NICs. Dado que muchos appliances no ejecutan EDR, las señales pueden estar en los registros de red, en telemetría de hipervisores o en soluciones de monitorización de integridad.
Además de las mitigaciones técnicas inmediatas, esta campaña recuerda una lección más amplia: las infraestructuras virtualizadas y las soluciones de backup son objetivos de alto valor para actores avanzados. El compromiso de una herramienta de recuperación puede dar al atacante una visibilidad y una capacidad de persistencia que afectan a toda la empresa. Por eso es clave integrar medidas de seguridad en el diseño de la plataforma, desde la gestión de credenciales hasta la segmentación, los backups inmutables y la validación de integridad de imágenes y configuraciones.
Para quienes quieran profundizar en los hallazgos técnicos y en la cronología de la investigación, los informes originales de los equipos que han documentado la actividad ofrecen detalles de telemetría y recomendaciones: el análisis de GTIG y Mandiant, la nota de seguridad de Dell y el registro de la vulnerabilidad en la base de CVE CVE-2026-22769. Consultar estas fuentes permite tomar decisiones informadas y aplicar las contramedidas que correspondan.
En definitiva, estamos ante un ejemplo más de cómo fallos aparentemente “locales” en herramientas de respaldo pueden convertirse en puertas de entrada para campañas sofisticadas. La combinación de una vulnerabilidad crítica, malware diseñado para evadir análisis y técnicas de movimiento lateral inéditas subraya la necesidad de priorizar parches, auditar infraestructuras virtuales y asumir que los appliances sin protección son un vector privilegiado para actores avanzados.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...