Un groupe d’espionnage chinois présumé a exploité les informations d’identification d’administrateur codées en dur dans Dell RecoverPoint for Virtual Machines pour déployer des shells Web et maintenir la persistance dans les environnements VMware d’entreprise.
Au cours des 18 derniers mois, un groupe de cyberespionnage chinois a exploité une vulnérabilité jusqu’alors inconnue dans RecoverPoint for Virtual Machines de Dell, une solution de reprise après sinistre de VM. La faille, corrigée par Dell cette semaine, permet à des attaquants non authentifiés d’exécuter des commandes sur le système d’exploitation sous-jacent en tant que root.
La vulnérabilité, identifiée comme CVE-2026-22769, provient d’informations d’identification d’administrateur codées en dur pour Apache Tomcat Manager, qui peuvent être exploitées pour déployer des fichiers WAR (Web Application Archive) malveillants. Apache Tomcat est un serveur Web pour les applications Web basées sur Java.
Les chercheurs de l’équipe Mandiant de Google ont découvert cette vulnérabilité critique en enquêtant sur plusieurs instances Dell RecoverPoint for Virtual Machines compromises dans un environnement client envoyant du trafic de commande et de contrôle (C2) associé à deux backdoos connus sous le nom de BRICKSTORM et GRIMBOLT. Ces portes dérobées sont utilisées par un groupe APT lié à la Chine que Mandiant suit sous le nom d’UNC6201, connu pour cibler l’infrastructure d’entreprise liée à VMware.
Dell RecoverPoint for Virtual Machines est une appliance de réplication et de protection des données pour les environnements VMware, ce qui en fait une cible attrayante pour ce groupe. La nouvelle vulnérabilité affecte les versions 5.3 SP4 P1, 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 et 6.0 SP3 P1. Les clients sont fortement encouragés à mettre à niveau vers la version corrigée 6.0.3.1 HF1, mais si cela n’est pas immédiatement possible, Dell a également publié un script de correction.
Les attaquants passent de BRICKSTORM à GRIMBOLT
Les activités de l’UNC6201 se chevauchent considérablement avec celles d’un autre groupe suivi par Mandiant et le Threat Intelligence Group (GTIG) de Google sous le nom d’UNC5221, connu pour cibler les appareils de pointe du réseau à l’aide d’exploits Zero Day. D’autres sociétés de sécurité attribuent cette activité au groupe de hackers parrainé par l’État chinois Silk Typhoon ou APT27, mais Google estime qu’il s’agit d’un autre acteur menaçant.
UNC5221 a compromis les réseaux de cabinets de services juridiques américains, de fournisseurs SaaS, d’externalisateurs de processus métier et d’entreprises technologiques au cours des dernières années et a déployé la porte dérobée Linux BRICKSTORM et un shell Web appelé SLAYSTYLE qui a été installé sur des déploiements vCenter compromis.
BRICKSTORM et SLAYSTYLE ont également été observés dans les nouveaux compromis Dell RecoverPoint attribués à UNC6201. Cependant, l’acteur malveillant a également déployé une nouvelle porte dérobée appelée GRIMBOLT.
« GRIMBOLT est une porte dérobée écrite en C#, compilée à l’aide d’une compilation native à l’avance (AOT) et emballée avec UPX », ont déclaré les chercheurs de Mandiant. « Il offre une capacité de shell à distance et utilise les mêmes commandes et contrôles que la charge utile BRICKSTORM précédemment déployée. »
Il existe des preuves que UNC6201 exploite CVE-2026-22769 depuis la mi-2024 pour déployer le shell Web SLAYSTYLE. Cependant, le remplacement de BRICKSTORM par GRIMBOLT n’a eu lieu qu’en septembre 2025. Il n’est pas clair si cela était le résultat d’une itération planifiée ou en réaction à la révélation de BRICKSTORM par Mandiant et d’autres sociétés de sécurité à peu près à cette époque.
Techniques de pivotement
Outre les charges utiles elles-mêmes, l’enquête a également révélé de nouvelles techniques. Par exemple, le script shell légitime convert_hosts.sh qui existe sur ces appareils a été modifié pour inclure le chemin des portes dérobées afin d’assurer la persistance.
Le shell Web SLAYSTYLE, conçu pour recevoir des commandes via HTTP et les exécuter sur le système, a été utilisé pour configurer des règles de proxy via Linux. iptables utilitaire. À savoir, le trafic entrant sur le port 443 (HTTPS) contenant une chaîne HEX particulière a été redirigé silencieusement vers le port 10443 pendant les 5 minutes suivantes.
Une autre technique nouvelle consistait à créer des ports réseau temporaires sur des machines virtuelles existantes sur les serveurs VMware ESXi pour accéder à d’autres services au sein des environnements.
Charles Carmakal, CTO chez Mandiant, a décrit la technique sur LinkedIn comme le déploiement de « cartes réseau fantômes sur des machines virtuelles pour échapper aux défenseurs », car elle obligeait les enquêteurs à traquer l’activité réseau à partir d’adresses IP qui n’existaient plus et n’étaient jamais documentées.
Les appliances en périphérie du réseau sont devenues un point d’entrée courant dans les réseaux d’entreprise pour les attaquants sophistiqués. Ces appliances ne sont généralement pas couvertes par les solutions de journalisation, manquent de détection des logiciels malveillants sur les points finaux, contiennent pourtant une multitude d’informations d’identification et fournissent d’excellents points de pivotement aux services internes.
Dell recommande que RecoverPoint for VMs soit déployé au sein d’un réseau fiable et à accès contrôlé, derrière des pare-feu et une segmentation appropriés, et non sur une infrastructure publique. Pendant ce temps, le billet de blog Mandiant inclut des indicateurs de compromission et des règles de détection YARA pour les nouvelles charges utiles GRIMBOLT et SLAYSTYLE.
