Kina-forbundne aktører misbrugte Dell 0-dagsårbarhed i over et år

Google og Mandiant advarer om, at en kinesisk trusselaktør har udnyttet en kritisk sårbarhed i Dell RecoverPoint for Virtual Machines siden midt 2024. Fejlen, CVE-2026-22769, med en CVSS-score på 10,0 skyldes en hardkodet Apache Tomcat adgangskode og giver fuld adgang til systemet. Dell lappede rettede denne uge – men angriberne har angiveligt været der længe før. 

Det skriver The Register og Security Week.

En kampagne med flere bagdøre

Ifølge medierne har trusselsaktøren UNC6201 installeret flere typer bagdøre: Brickstorm, Slaystyle webshell og Grimbolt, der er en nyere backdoor skrevet i C# og pakket med UPX for at undgå analyse

Grimbolt overtog rollen fra Brickstorm i 2025 og giver samme fjernadgang, blot mere effektivt og mere skjult.

Undersøgelser har vist, at angriberne brugte den hardkodede Tomcat adgangskode til at uploade en ondsindet WAR fil. Derfra fik de root adgang og kunne fortsætte ind i VMware miljøet.

Her oprettede de såkaldte “ghost NICs” – skjulte, midlertidige virtuelle netværksporte på ESXi-maskiner. De fungerer som hemmelige tunneler til lateral bevægelse i virtualiseringslaget, og er svære at opdage.

Omfanget er uklart

Mandiant kender til under et dusin ramte organisationer, men understreger, at det reelle antal kan være højere. Aktører med tidligere Brickstorm aktivitet rådes til at lede efter Grimbolt og undersøge VMware for uautoriserede virtuelle netværksinterfaces.

CISA bemærker ifølge medierne, at statsstøttede aktører ikke blot bryder ind – de etablerer sig for langtidsadgang og potentiel sabotage.