Una vulnerabilidad de máxima gravedad en Dell RecoverPoint for Virtual Machines ha sido explotada como un zero‑day por un grupo de ciberespionaje vinculado a China, identificado por Google Mandiant y el Google Threat Intelligence Group como UNC6201. Según el informe público, la falla —registrada como CVE‑2026‑22769— se debe a credenciales codificadas en versiones anteriores a la 6.0.3.1 HF1, y permite a un atacante no autenticado obtener acceso no autorizado al sistema subyacente y persistencia con privilegios root si conoce esas credenciales.
El problema no afecta a todos los productos de RecoverPoint; Dell aclara que RecoverPoint Classic no está en la lista de afectados. Sin embargo, las ediciones de RecoverPoint for Virtual Machines en versiones como 5.3 SP4 P1 y varias ramas 6.0 requieren migración y/o actualización urgente para corregir el fallo. Dell ha publicado recomendaciones específicas sobre qué versiones actualizar y cómo mitigar el riesgo en su aviso oficial, que conviene consultar con prioridad: boletín de Dell.
El mecanismo de explotación descrito por Mandiant/GTIG es directo y peligroso: la credencial codificada facilita la autenticación contra el Apache Tomcat Manager incluido en el appliance. Con ella, el actor malicioso puede subir una web shell denominada SLAYSTYLE mediante el endpoint "/manager/text/deploy" y ejecutar comandos como root. Esto fue la puerta para desplegar una familia de puertas traseras conocida como BRICKSTORM y una variante más reciente y sigilosa llamada GRIMBOLT. El análisis técnico del equipo de Mandiant puede consultarse en el informe de Google: UNC6201: explotación del zero‑day en Dell RecoverPoint.
GRIMBOLT merece una mención especial por su diseño. Según los investigadores, se trata de un backdoor compilado en C# mediante compilación adelantada nativa (AOT), lo que dificulta la ingeniería inversa y la detección. Además, sus autores han trabajado para que los binarios se mezclen con archivos nativos del sistema, reduciendo las pistas forenses. La transición desde BRICKSTORM a GRIMBOLT en algunos entornos detectada en septiembre de 2025 sugiere una intención deliberada de permanecer más tiempo sin ser descubierto.
El patrón de comportamiento del grupo UNC6201 muestra tácticas hábiles para ocultar el movimiento lateral. Una de ellas es la creación de interfaces de red virtuales temporales —denominadas "Ghost NICs"— que permiten pivotar desde máquinas virtuales comprometidas hacia redes internas o servicios SaaS y luego ser borradas para dificultar las investigaciones. Además, en máquinas VMware vCenter comprometidas se han encontrado reglas iptables creadas por la web shell para monitorizar tráficos TLS (puerto 443) en busca de una cadena hexadecimal específica y, cuando la detectan, añadir la IP origen a una lista de aprobadas y redirigir tráfico hacia el puerto 10443 durante periodos cortos. Para quien quiera familiarizarse con el tipo de reglas usadas, un recurso técnico básico sobre iptables es útil: tutorial de iptables.
La campaña de UNC6201 no actúa en el vacío: comparte tácticas y familias de malware con otros grupos vinculados a China, como UNC5221, y la misma herramienta BRICKSTORM ha sido asociada también con otro actor identificado por CrowdStrike como Warp Panda en ataques contra entidades estadounidenses. Pese a estas coincidencias tácticas, los analistas consideran que los clusters permanecen como amenazas distintas, cada uno con sus modos operativos y objetivos. Esta superposición subraya que los adversarios estatales y pro‑estatal se especializan en atacar infraestructuras de virtualización y dispositivos de borde que suelen carecer de protección tradicional de endpoints.
Este último punto es crítico: muchos de los appliances y gateways atacados no ejecutan agentes EDR habituales, lo que facilita que los intrusos permanezcan en las redes durante largos periodos sin ser detectados. La consecuencia es una mayor "dwell time" —tiempo que el atacante permanece en el entorno— y más oportunidades para mover datos, plantar backdoors o preparar acciones posteriores que pueden incluso alcanzar sistemas de control industrial (OT). En un contexto relacionado, la firma Dragos ha documentado campañas que comprometen gateways celulares para pivotar hacia estaciones de ingeniería en sectores como energía y petróleo y gas, demostrando la gravedad de la amenaza sobre infraestructuras críticas: informe de Dragos.
¿Qué pueden y deben hacer las organizaciones afectadas o en riesgo? En primer lugar, actualizar inmediatamente a las versiones remedio señaladas por Dell: para muchas ramas eso implica moverse a 6.0.3.1 HF1 o aplicar los pasos de migración desde 5.3 SP4 P1 antes de instalar el hotfix. Dell además enfatiza que RecoverPoint for Virtual Machines debe desplegarse dentro de redes internas y de confianza, protegidas por segmentación y firewalls adecuados, y no directamente expuestas a Internet. La guía oficial de Dell contiene las instrucciones concretas sobre versiones y pasos de mitigación: consulta del aviso de Dell.
No basta con parchear: conviene auditar los sistemas en busca de indicadores de compromiso. Revisar la existencia de web shells en Tomcat, procurar listas de procesos y archivos que coincidan con BRICKSTORM o GRIMBOLT, comprobar reglas inusuales en iptables que redirijan puertos TLS hacia 10443, y buscar huellas de interfaces de red efímeras son tareas prioritarias. También es recomendable reforzar las monitorizaciones de integridad, segmentar aún más las redes que alojan appliances y revisar los accesos administrativos expuestos. Para entender qué hacen las reglas iptables que se han observado en incidentes reales, el enlace técnico citado arriba puede ser de ayuda: guía de iptables.
Los equipos de respuesta y los responsables de seguridad deberían coordinarse con los proveedores para validar la remediación, recabar logs forenses antes de aplicar cambios disruptivos y, si existe sospecha de compromiso, asumir que hay persistencia a nivel de root hasta que se demuestre lo contrario. Dado que la explotación aprovecha credenciales embebidas en el software, la mera rotación de contraseñas externas no es suficiente: es imprescindible aplicar los parches y seguir las recomendaciones del fabricante.
Finalmente, este episodio es un recordatorio de que los atacantes de alto nivel buscan sistemas con poca telemetría y escasa protección tradicional. La industria debe seguir mejorando la visibilidad en appliances de infraestructura, exigir mejores prácticas de desarrollo seguro para evitar credenciales hard‑coded y adaptar controles de red que reduzcan la exposición de elementos críticos. Para más contexto y detalles técnicos sobre la investigación y atribución, el informe de Google Mandiant es una lectura obligada: informe de Mandiant/GTIG, y para la notificación del proveedor consulte el boletín de Dell: aviso de Dell.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...