Em meados de 2024 começou uma campanha silenciosa que agora pesquisadores de segurança têm relacionado a um grupo que se suspeita é apoiado pelo estado chinês. Esse ator aproveitou uma falha crítica em um produto da Dell para entrar em redes corporativas e manter persistência profunda em ambientes virtualizados.
A vulnerabilidade em questão é uma credencial incorporada no código de Dell RecoverPoint for Virtual Machines, uma solução destinada a proteger e recuperar máquinas virtuais na VMware. A falha está registrada como CVE-2026-22769 e afeta versões anteriores à 6.0.3.1 HF1. Dell publicou uma Nota de segurança em que recomenda atualizar ou aplicar as mitigações o mais rapidamente possível, porque um atacante sem autenticação prévia que conheça essa credencial pode obter acesso ao sistema operacional subjacente e estabelecer persistência com privilégios root.
As equipes de Google Threat Intelligence Group (GTIG) e Mandiant descrevem como o grupo batizado como UNC6201 aproveitou este vetor para implantar vários carregadores e portas traseiras. Entre eles destaca uma família nova chamada Grimbolt, escrita em C# e compilada com uma técnica relativamente recente para torná-la mais rápida e dificultar sua análise estática e dinâmica. Grimbolt parece ter substituído outra porta traseira conhecida como Brickstorm em setembro de 2025, embora não esteja claro se essa transição foi uma melhoria planejada ou uma reação a operações de resposta por parte de Mandiant e outras equipes da indústria.
O preocupante não é apenas a exploração inicial, mas também como os atacantes amplificaram as suas capacidades dentro de infra-estruturas virtualizadas. Os pesquisadores observaram o uso de interfaces de rede virtuais temporárias, denominadas coloquialmente “Ghost NICs”, em servidores VMware ESXi. Essas interfaces efímeras permitem que os atacantes pivotar de máquinas virtuais comprometidas para recursos internos ou até mesmo para serviços SaaS sem deixar os indicadores típicos de movimento lateral, o que as torna uma técnica inovadora e difícil de detectar.
Outro aspecto que facilita estas intrusões é a escolha de objetivos: appliances e dispositivos que normalmente não têm agentes tradicionais de detecção e resposta (EDR). Ao dirigir-se a componentes de infra-estruturas que não têm proteção endpoint padrão, os atacantes conseguem permanecer sem detectar durante períodos prolongados, tornando a contenção mais dispendiosa e complexa.
Os traços dessas operações também mostram sobreposições com outra família de ameaças rastreada como UNC5221, associada previamente à exploração de vulnerabilidades em produtos Ivanti e vinculada por alguns analistas a campanhas estatais chinesas como Silk Typhoon. Em abril de 2024 Mandiant documentou o uso de Brickstorm em certos ataques dirigidos a clientes de Ivanti, e empresas de segurança como CrowdStrike Relacionaram operações que usavam Brickstorm com um ator chamado Warp Panda, que atacou servidores VMware vCenter e outros objetivos em setores como o legal, tecnológico e manufacturero.
Para as equipes de segurança e administradores de sistemas, a notícia tem várias implicações práticas: em primeiro lugar, seguir o guia da Dell e priorizar a atualização a versões adesivos ou aplicar as mitigações propostas. A Dell publicou instruções concretas e listadas de produtos afetados em sua avisos de segurança. Em segundo lugar, convém rever o acesso a interfaces de gestão e sistemas de backup, limitar sua exposição a redes não confiáveis e forçar controles de autenticação fortes e segmentação de rede.
Também é importante monitorar ativamente indicadores de compromisso: buscar processos ou binários incomuns em sistemas vinculados a RecoverPoint, revisar logs de ESXi em busca de criação de portos virtuais temporais e analisar o tráfego lateral entre máquinas virtuais que poderia delatar o uso de Ghost NICs. Como muitos appliances não executam EDR, os sinais podem estar nos registros de rede, em telemetria de hipervisores ou em soluções de monitoramento de integridade.
Além das mitigações técnicas imediatas, esta campanha recorda uma lição mais ampla: as infra-estruturas virtualizadas e as soluções de backup são objetivos de alto valor para atores avançados. O compromisso de uma ferramenta de recuperação pode dar ao atacante uma visibilidade e uma capacidade de persistência que afetam toda a empresa. É por isso que é fundamental integrar medidas de segurança no design da plataforma, desde a gestão de credenciais até a segmentação, os backups imutávels e a validação de integridade de imagens e configurações.
Para aqueles que querem aprofundar os achados técnicos e a cronologia da pesquisa, os relatórios originais das equipes que documentaram a atividade oferecem detalhes de telemetria e recomendações: análise de GTIG e Mandiant, a Nota de segurança da Dell e o registro da vulnerabilidade na base de CVE CVE-2026-22769. Consultar estas fontes permite tomar decisões informadas e aplicar as contramedidas correspondentes.
Em suma, estamos diante de um exemplo mais do que falhas aparentemente “locales” em ferramentas de apoio podem se tornar portas de entrada para campanhas sofisticadas. A combinação de vulnerabilidade crítica, malware projetado para evitar análise e técnicas de movimento lateral inéditas enfatiza a necessidade de priorizar adesivos, auditar infraestruturas virtuais e assumir que os appliances sem proteção são um vetor privilegiado para atores avançados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...