Uma vulnerabilidade de gravidade máxima na Dell RecoverPoint for Virtual Machines foi explorada como um zero-day por um grupo de ciberespionagem ligado à China, identificado pelo Google Mandiant e pelo Google Threat Intelligence Group como UNC6201. De acordo com o relatório público, a falha, como a CVE-2026-22769, deve-se a credenciais codificadas em versões anteriores à 6.0.3.1 HF1, e permite a um atacante não autenticado obter acesso não autorizado ao sistema subjacente e persistência com privilégios root se souber essas credenciais.
O problema não afeta todos os produtos do RecoverPoint; a Dell esclarece que o RecoverPoint Classic não está na lista de afetados. No entanto, as edições do RecoverPoint for Virtual Machines em versões como 5.3 SP4 P1 e vários ramos 6.0 requerem migração e/ou atualização urgente para corrigir a falha. A Dell publicou recomendações específicas sobre quais versões atualizadas e como mitigar o risco no seu aviso oficial, que convém consultar com prioridade: boletim da Dell.
O mecanismo de exploração descrito por Mandiant/GTIG é direto e perigoso: a credencial codificada facilita a autenticação contra o Apache Tomcat Manager incluído no appliance. Com ela, o ator malicioso pode subir uma web shell chamada SLAYSTYLE através do endpoint "/manager/text/deploy" e executar comandos como root. Isso foi a porta para implantar uma família de portas traseiras conhecida como BRICKSTORM e uma variante mais recente e sigilosa chamada GRIMBOLT. A análise técnica da equipe de Mandiant pode ser consultada no relatório do Google: UNC6201: exploração do zero-day na Dell RecoverPoint.
GRIMBOLT merece uma menção especial pelo seu design. Segundo os pesquisadores, trata-se de um backdoor compilado em C# mediante compilação antecipada nativa (AOT), o que dificulta a engenharia inversa e a detecção. Além disso, seus autores trabalharam para que os binários se mezclem com arquivos nativos do sistema, reduzindo as pistas forenses. A transição de BRICKSTORM para GRIMBOLT em alguns ambientes detectados em setembro de 2025 sugere uma intenção deliberada de permanecer mais tempo sem ser descoberta.
O padrão de comportamento do grupo UNC6201 mostra táticas úteis para ocultar o movimento lateral. Uma delas é a criação de interfaces de rede virtuais temporárias — denominadas "Ghost NICs" — que permitem pivotar de máquinas virtuais comprometidas para redes internas ou serviços SaaS e depois ser apagadas para dificultar pesquisas. Além disso, em máquinas VMware vCenter comprometidas foram encontradas regras iptaveis criadas pela web shell para monitorar tráfegos TLS (porto 443) em busca de uma cadeia hexadecimal específica e, quando a detectam, adicionar IP origem a uma lista de aprovadas e redireccionar tráfego para o porto 10443 durante períodos curtos. Para quem quiser se familiarizar com o tipo de regras usadas, um recurso técnico básico sobre iptables é útil: tutorial de iptables.
A campanha de UNC6201 não atua no vácuo: compartilha táticas e famílias de malware com outros grupos vinculados à China, como UNC5221, e a mesma ferramenta BRICKSTORM tem sido associada também com outro ator identificado por CrowdStrike como Warp Panda em ataques contra entidades americanas. Apesar destas coincidências táticas, os analistas consideram que os clusters permanecem como ameaças distintas, cada um com seus modos operacionais e objetivos. Esta superposição sublinha que os adversários estatais e pró-estatal se especializam em atacar infra-estruturas de virtualização e dispositivos de borda que normalmente carecem de proteção tradicional de endpoints.
Este último ponto é crítico: muitos dos appliances e gateways atacados não executam agentes EDR habituais, o que facilita que os intrusos permaneçam nas redes durante longos períodos sem serem detectados. A consequência é uma maior "dwell time" — tempo que o atacante permanece no ambiente — e mais oportunidades para mover dados, plantar backdoors ou preparar ações posteriores que podem até atingir sistemas de controle industrial (OT). Em um contexto relacionado, a empresa Dragos tem documentado campanhas que comprometem gateways celulares para impulsionar estações de engenharia em setores como energia e petróleo e gás, demonstrando a gravidade da ameaça sobre infra-estruturas críticas: Relatório de Dragos.
O que podem e devem fazer as organizações afectadas ou em risco? Em primeiro lugar, Actualizar imediatamente às versões remédio assinaladas pela Dell: para muitos ramos isso implica mover-se para 6.0.3.1 HF1 ou aplicar os passos de migração desde 5.3 SP4 P1 antes de instalar o hotfix. Dell também enfatiza que o RecoverPoint for Virtual Machines deve ser colocado dentro de redes internas e de confiança, protegidas por segmentação e firewalls adequados, e não diretamente expostas à Internet. O guia oficial da Dell contém as instruções concretas sobre versões e passos de mitigação: consulta do aviso Dell.
Não basta para o sistema transdérmico: é conveniente auditar os sistemas em busca de indicadores de compromisso. Rever a existência de web shells no Tomcat, procurar listas de processos e arquivos que correspondam a BRICKSTORM ou GRIMBOLT, verificar regras invulgares em iptables que redireccionem portos TLS para 10443, e procurar impressões de interfaces de rede efímeras são tarefas prioritárias. Também é recomendável reforçar as monitorizações de integridade, segmentar ainda mais as redes que alojam appliances e revisar os acessos administrativos expostos. Para entender o que fazem as regras iptaveis que foram observadas em incidentes reais, o link técnico citado acima pode ser de ajuda: Guia de Iptables.
Os equipamentos de resposta e os responsáveis pela segurança devem ser coordenados com os fornecedores para validar a remediação, recolher logs forenses antes de aplicar alterações disruptivas e, se houver suspeita de compromisso, assumir que existe persistência ao nível do root até que o contrário seja demonstrado. Dado que a exploração aproveita credenciais embebidas no software, a mera rotação de senhas externas não é suficiente: é imprescindível aplicar os adesivos e seguir as recomendações do fabricante.
Finalmente, este episódio é um lembrete de que os atacantes de alto nível buscam sistemas com pouca telemetria e pouca proteção tradicional. A indústria deve continuar a melhorar a visibilidade dos appliances de infra-estruturas, exigir melhores práticas de desenvolvimento seguro para evitar credenciais hard-coded e adaptar controlos de rede que reduzam a exposição de elementos críticos. Para mais contexto e detalhes técnicos sobre pesquisa e atribuição, o relatório do Google Mandiant é uma leitura obrigada: Relatório de Mandiant/GTIG, e para a notificação do fornecedor consulte o boletim da Dell: Aviso da Dell.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...