Cibercriminosos ligados à China exploram falha grave no Dell RecoverPoint

Um grupo cibercriminoso, identificado como UNC6201, suspeito de ligações com o governo chinês, está explorando uma falha gravíssima no Dell RecoverPoint for Virtual Machines desde 2024. A Dell disponibilizou um patch de segurança e emitiu um comunicado oficial (DSA-2026-079) com orientações específicas.

A vulnerabilidade, registrada oficialmente como CVE-2026-22769, recebeu a pontuação máxima de risco possível, 10 de 10 na escala CVSSv3.1. A investigação foi feita pelo Grupo de Inteligência de Ameaças do Google e pela empresa de cibersegurança Mandiant.

Senha permitia manipulação dos dispositivos

O software da Dell, que protege máquinas virtuais garantindo que, se algo der errado, os dados possam ser restaurados, vinha com credenciais embutidas diretamente no código, incluindo um nome de usuário e uma senha padrão, fixos, que qualquer pessoa com acesso ao arquivo de configuração tomcat-users.xml poderia encontrar e usar.

Com essas credenciais em mãos, um invasor conseguia se autenticar como administrador no Apache Tomcat Manager, o sistema de gerenciamento interno do software. 

A partir daí, bastava fazer o upload de um arquivo malicioso no formato WAR (um pacote de aplicação web) para executar comandos com o mais alto nível de privilégio possível no servidor da vítima, o chamado acesso root, equivalente a ter as chaves de tudo.

Como a invasão acontece

Depois de entrar pela porta aberta pelas credenciais padrão, o UNC6201 instalava uma web shell chamada SLAYSTYLE, um script malicioso que funciona como um painel de controle remoto, permitindo ao invasor executar comandos no servidor da vítima como se estivesse sentado na frente do teclado.

O passo seguinte era garantir que o acesso se mantivesse mesmo após reinicializações do sistema. Para isso, os invasores modificaram um arquivo legítimo do sistema chamado convert_hosts.sh, que é executado automaticamente toda vez que o servidor é ligado.

Com essa modificação, os backdoors eram reiniciados automaticamente junto com o sistema operacional, tornando a presença dos criminosos praticamente permanente enquanto ninguém percebesse.

BRICKSTORM e GRIMBOLT

Dentro dos sistemas comprometidos, a Mandiant encontrou dois tipos de backdoor, programas que criam uma "porta dos fundos" no sistema, permitindo ao invasor entrar e sair sem ser percebido.

O primeiro era o BRICKSTORM, um malware já conhecido dos pesquisadores e associado a grupos ligados à China em investigações anteriores.

Mas em setembro de 2025, os investigadores observaram que os binários do BRICKSTORM estavam sendo substituídos por um novo malware, o GRIMBOLT.

Escrito na linguagem C# e compilado com uma técnica chamada Native AOT (compilação antecipada nativa), o GRIMBOLT foi projetado para ser mais difícil de analisar. 

Ao contrário do modelo tradicional do C#, que deixa rastros de metadados no código, o Native AOT converte o programa diretamente para código de máquina, apagando esses rastros. Por cima disso, o arquivo ainda foi comprimido com UPX, adicionando mais uma camada de dificuldade para quem tentasse estudá-lo.

Ainda não está claro se a troca foi planejada pelo grupo como parte de um ciclo natural de atualização do arsenal ou se foi uma reação direta às investigações.

Fantasmas na rede

Além dos backdoors, os pesquisadores documentaram táticas que nunca haviam sido relatadas publicamente antes.

A primeira delas foi a criação de Ghost NICs, "placas de rede fantasmas". Em ambientes virtualizados como o VMware ESXi, é possível criar interfaces de rede virtuais temporárias dentro de máquinas virtuais existentes. 

O UNC6201 usou exatamente isso para se mover entre diferentes sistemas internos da vítima e até acessar serviços em nuvem, sem deixar rastros de movimentação.

A segunda técnica foi o uso de iptables para implementar algo chamado Single Packet Authorization (SPA), uma forma de esconder a existência de um backdoor ativo. 

Os invasores configuraram o sistema para só abrir a porta de acesso secreto para quem primeiro enviasse um "pacote mágico" com uma sequência específica de bytes. Qualquer outro tráfego era silenciosamente ignorado, tornando o backdoor invisível para ferramentas de varredura de rede convencionais.

Quem é o UNC6201?

O grupo é rastreado pela Mandiant sob o código UNC620, nomenclatura usada para agrupamentos de atividade maliciosa ainda em fase de investigação. 

Há sobreposições significativas com outro grupo chamado UNC5221, associado publicamente ao que o setor de segurança chama de Silk Typhoon, um ator de ameaça com suspeitas de vínculo com o governo chinês.

Segundo os pesquisadores, o padrão de comportamento observado aponta para espionagem corporativa e governamental. O objetivo não é causar destruição imediata, mas permanecer invisível nas redes das vítimas pelo maior tempo possível, coletando informações estratégicas.

Como se proteger

A Dell agradeceu o Google e a Mandiant pelo alerta e afirmou que a falha “é considerada crítica, pois um invasor remoto não autenticado com conhecimento da credencial codificada poderia explorar essa vulnerabilidade”. 

A companhia disponibilizou um alerta com orientações, os tipos de aparelhos afetados e o que fazer a seguir. As recomendações são:

• Atualizar imediatamente para a versão 6.0.3.1 HF1 ou mais recente;
• Se a atualização imediata não for possível, executar o script de segurança fornecido pela Dell;
• Garantir que o software não esteja exposto diretamente à internet — ele deve operar apenas dentro de redes internas protegidas.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.