Au milieu de 2024, une campagne silencieuse a commencé, selon laquelle les chercheurs en sécurité avaient maintenant affaire à un groupe soupçonné d'être soutenu par l'État chinois. Cet acteur a profité d'un échec critique dans un produit Dell pour entrer dans les réseaux d'entreprise et maintenir une profonde persistance dans les environnements virtualisés.
La vulnérabilité en question est un titre de créance incorporé dans le code de Dell RecoverPoint pour les machines virtuelles, une solution conçue pour protéger et récupérer des machines virtuelles dans VMware. La défaillance est enregistrée comme suit: CVE-2026-22769 et affecte les versions avant 6.0.3.1 HF1. Dell a publié une Note de sécurité dans lequel il recommande de mettre à jour ou d'appliquer les mesures d'atténuation le plus tôt possible, parce qu'un attaquant sans authentification préalable qui sait que les justificatifs peuvent avoir accès au système d'exploitation sous-jacent et établir la persistance avec les privilèges racine.
L'équipement Google Threat Intelligence Group (GTIG) et Mandiant décrivent comment le groupe baptisé comme ONU6201 Il a profité de ce vecteur pour mettre en œuvre plusieurs chargeuses et portes arrière. Parmi eux se trouve une nouvelle famille appelée Grimbolt, écrit en C # et compilé avec une technique relativement récente pour le rendre plus rapide et rendre difficile pour vous d'analyser statique et dynamique. Grimbolt semble avoir remplacé une autre porte arrière connue sous le nom de Brickstorm en septembre 2025, bien qu'il ne soit pas clair si cette transition était une amélioration planifiée ou une réaction à la réaction de Mandiant et d'autres équipes de l'industrie.
Ce qui est inquiétant, ce n'est pas seulement l'exploitation initiale, mais aussi la façon dont les attaquants ont amplifié leurs capacités au sein de l'infrastructure virtualisée. Les chercheurs ont observé l'utilisation d'interfaces réseau virtuelles temporaires, appelées "NIC des hôtes", sur les serveurs VMware ESXi. Ces interfaces éphémères permettent aux attaquants de pivoter à partir de machines virtuelles engagées dans des ressources internes ou même des services SaaS sans laisser les indicateurs typiques du mouvement latéral, ce qui en fait une technique nouvelle et difficile à détecter.
Un autre aspect qui facilite ces intrusions est le choix des objectifs: les applications et les dispositifs qui normalement ne portent pas d'agents de détection et de réponse traditionnels (EDR). En ciblant les composantes de l'infrastructure qui n'ont pas de protection standard, les attaquants parviennent à rester non détectés pendant de longues périodes, rendant le confinement plus coûteux et plus complexe.
Les traces de ces opérations montrent également des chevauchements avec une autre famille de menaces tracée comme UNC5221, précédemment associée à l'exploitation de vulnérabilités dans les produits Ivanti et liée par certains analystes à des campagnes d'État chinoises telles que Silk Typhoon. En avril 2024, Mandiant documenta l'utilisation de Brickstorm dans certaines attaques. adressée aux clients Ivanti sociétés de sécurité telles que CrowdStrike ont des opérations connexes qui ont utilisé Brickstorm avec un acteur qu'ils appellent Warp Panda, qui a attaqué les serveurs VMware vCenter et d'autres cibles dans des secteurs tels que le droit, la technologie et la fabrication.
Pour les équipes de sécurité et les gestionnaires de système, les nouvelles ont plusieurs implications pratiques : d'abord, suivez le guide de Dell et priorisez la mise à jour pour les versions découpées ou appliquez les mesures d'atténuation proposées. Dell a publié des instructions spécifiques et des listes de produits concernés dans sa Avis de sécurité. Deuxièmement, il convient d'examiner l'accès aux interfaces de gestion et aux systèmes de sauvegarde, de limiter leur exposition à des réseaux peu fiables et de forcer les contrôles d'authentification et la segmentation des réseaux.
Il est également important de surveiller activement les indicateurs d'engagement : rechercher des processus ou des binaires inhabituels dans les systèmes liés à RecoverPoint, examiner la connexion d'ESXi pour la création de ports virtuels temporaires et analyser le trafic latéral entre les machines virtuelles qui pourraient révéler l'utilisation des NIC Ghost. Comme de nombreuses applications ne fonctionnent pas EDR, les signaux peuvent être dans les enregistrements réseau, dans la télémétrie hyperviseur ou dans les solutions de surveillance de l'intégrité.
Outre l'atténuation technique immédiate, cette campagne rappelle une leçon plus large : les infrastructures virtuelles et les solutions de sauvegarde sont des cibles de grande valeur pour les acteurs avancés. L'engagement d'un outil de récupération peut donner à l'attaquant une visibilité et une capacité de persistance qui affectent toute l'entreprise. Il est donc essentiel d'intégrer des mesures de sécurité dans la conception de la plateforme, de la gestion des références à la segmentation, aux sauvegardes immuables et à la validation de l'intégrité et des configurations de l'image.
Pour ceux qui veulent approfondir les résultats techniques et la chronologie de la recherche, les rapports originaux des équipes qui ont documenté l'activité fournissent des détails de télémétrie et des recommandations: Analyse GTIG et Mandiant, Note de sécurité de Dell et l'enregistrement de la vulnérabilité à la base EQE CVE-2026-22769. La consultation de ces sources permet de prendre des décisions éclairées et d'appliquer des contre-mesures appropriées.
En bref, nous examinons un autre exemple de la façon dont les défaillances apparemment « locales » des outils de sauvegarde peuvent devenir des portes d'entrée pour des campagnes sophistiquées. La combinaison de vulnérabilité critique, de logiciels malveillants conçus pour échapper à l'analyse et de techniques de mouvement latéral inédites souligne la nécessité de prioriser les correctifs, d'auditer les infrastructures virtuelles et de supposer que les applications non protégées sont un vecteur privilégié pour les acteurs avancés.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...