Nos últimos meses, a cibersegurança governamental nos Estados Unidos recebeu um forte lembrete: as vulnerabilidades em produtos de infraestrutura crítica não são um problema teórico, e quando exploradas por atores persistentes podem comprometer redes inteiras durante anos. A Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA (CISA) marcou um ritmo urgente: ordenou às agências federais corrigir uma falha de gravidade máxima na Dell RecoverPoint em apenas três dias, uma medida que sublinha o risco real que já está a ser materializada em incidentes de espionagem e acesso sustentado.
A falha em questão, registrada como CVE-2026-22769, afeta RecoverPoint, a solução da Dell destinada à cópia de segurança e recuperação de máquinas virtuais em ambientes VMware. O que torna especialmente perigoso a este problema não é apenas a sua gravidade técnica, mas sim a sua credibilidade embebida no software — um vetor clássico que permite a um atacante saltar controles iniciais e mover-se lateralmente dentro de uma rede uma vez que consegue acesso inicial.
Pesquisadores de múltiplas empresas de cibersegurança, entre elas Mandiant e a equipe de inteligência de ameaças do Google, têm documentado que essa vulnerabilidade foi explorada de forma ativa desde, pelo menos, meados de 2024 por um grupo atribuído à China e rastreado como UNC6201. Depois de aproveitar a falha, os atacantes não se limitam a uma intrusão pontual: exibem várias cargas maliciosas, mantêm persistência e obtêm capacidades para expandir seu acesso dentro da infraestrutura comprometida.
Entre as ferramentas identificadas nestas operações figura BRICKSTORM, e desde setembro de 2025 os analistas observaram que o ator começou a usar uma nova porta traseira denominada GRIMBOLT. GRIMBOLT destaca por utilizar técnicas de compilação menos comuns, o que dificulta a sua análise e a resposta forense diante da amostra, e sua aparição levanta questões sobre se a substituição foi uma atualização planejada ou uma reação às ações de resposta lideradas por assinaturas como Mandiant.
A pesquisa também mostra sobreposições entre a atividade de UNC6201 e outro agrupamento conhecido como Silk Typhoon (também rastreada como UNC5221), um conjunto que lhe é atribuído campanhas anteriores de ciberespionagem contra entes federais americanos. Repórteres de incidentes passados mencionam intrusões que afetaram organismos sensíveis como o Departamento do Tesouro, o Gabinete de Controle de Activos Estrangeiros (OFAC) e o Comité de Investimento Estrangeiro nos Estados Unidos (CFIUS), o que ajuda a enquadrar o potencial impacto quando estas lacunas afectam administrações ou infra-estruturas críticas.
Ante a evidência de exploração em ambientes reais, CISA acrescentou CVE-2026-22769 ao seu catálogo de vulnerabilidades conhecidas por serem exploradas ( alerta de CISA e entrada no KEV) e exigiu cumprimento da directiva operacional BOD 22-01, que obriga as agências federais a atenuar ou a corrigir estas falhas em prazos muito curtos. A razão é simples: vulnerabilidades exploradas no wild deixam pouca margem para a espera, e as agências devem priorizar inventários, aplicar mitigações oficiais ou, se não houver correção disponível, deixar de utilizar o produto em causa.
Este episódio não é isolado. A urgência da CISA recorda outra directiva recente que forçou os organismos federais a remediar uma falha crítica em BeyondTrust Remote Support (CVE-2026-1731) com o mesmo prazo de três dias. Pesquisadores independentes, como os autores da descoberta publicada no Hacktron, alertaram para além da ampla exposição de instâncias desse produto -miles de instalações acessíveis na Internet que requeriam adesivos manuais em implantaçãos on-premises -, o que agrava a escala do risco quando as vulnerabilidades se tornam públicas e exploradas.
Além do adesivo imediato, esta cadeia de incidentes destaca vários problemas estruturais na segurança de infra-estruturas empresariais e governamentais. Primeiro, a presença de credenciais embebidas ou mecanismos de autenticação inflexível em software crítico ainda é um problema frequente que facilita a escalada de privilégios. Segundo, a complexidade dos ambientes híbridos (serviços em nuvem combinados com sistemas on-premises) obriga equipamentos de segurança a combinar adesivos automáticos com auditorias manuais e respostas coordenadas. Por fim, quando os atacantes evoluem as suas ferramentas para evitar análises — como acontece com as novas técnicas de compilação observadas em GRIMBOLT — a detecção e a contenção requerem melhores processos de intercâmbio de inteligência e colaboração público-privada.
Para profissionais e responsáveis por TI a lição é clara: não basta aplicar um adesivo quando aparece o boletim; é preciso saber onde estão os sistemas vulneráveis, priorizar as atualizações em função do risco e contar com planos de resposta que combinem detecção, contenção e recuperação. As diretrizes da CISA oferecem um quadro legal e operacional para as agências federais, mas as melhores práticas que emergem desses casos são aplicáveis a qualquer organização que dependa de soluções de apoio e recuperação virtualizadas.
Se você quer ler os avisos oficiais e as informações técnicas mencionadas neste texto, você pode consultar a entrada do CVE sobre a vulnerabilidade em RecoverPoint ( CVE-2026-22769), alerta e incorporação no catálogo de CISA ( anúncio da CISA e entrada no KEV) e um resumo jornalístico da situação que recolhe declarações técnicas e contexto sobre os atores envolvidos ( BleepingComputer). Para compreender a dimensão de incidentes semelhantes em outros produtos e a necessidade de uma resposta ágil, a publicação que descobriu a falha em BeyondTrust oferece mais detalhes ( Hacktron).
Quando uma vulnerabilidade é ativamente explorada, o tempo deixa de ser uma variável inofensiva: é a diferença entre um incidente contenível e uma intrusão que se assenta e produz danos de longo prazo. O convite para administradores e decisores é simples e urgente: rever inventários, aplicar as mitigações oficiais e, quando necessário, desligar componentes inseguros até existirem adesivos fiáveis. A segurança não é apenas tecnologia; é vontade e coordenação para reduzir janelas de exposição antes que os atacantes as aproveitem.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...