Китайские хакеры полгода молча эксплуатировали уязвимость в продукте Dell

Группировка UNC6201, предположительно работающая в интересах китайского государства, с середины 2024 года тихо взламывала корпоративные сети через критическую уязвимость в Dell RecoverPoint for Virtual Machines и делала это настолько аккуратно, что никто долгое время не замечал ничего подозрительного.

Об этом сообщили исследователи Mandiant и Google Threat Intelligence Group. Уязвимость, получившая идентификатор CVE-2026-22769, связана с жёстко прописанными в коде учётными данными — то есть паролями, которые разработчики намертво вшили прямо в программу и которые одинаковы у всех пользователей продукта. Любой, кто знает эти данные, получает несанкционированный доступ к операционной системе устройства с правами суперпользователя. Dell присвоила этой проблеме максимальный уровень опасности и во вторник выпустила соответствующее уведомление с рекомендацией немедленно перейти на версию 6.0.3.1 HF1 или выше.

RecoverPoint for Virtual Machines — это специализированное решение для резервного копирования и восстановления виртуальных машин в среде VMware. Иными словами, продукт, который по определению должен защищать данные, сам стал точкой входа для атаки. Ирония, достойная отдельной статьи.

Оказавшись внутри сети жертвы, UNC6201 не теряла времени зря. Группировка разворачивала сразу несколько вредоносных инструментов, среди которых особо выделяется свежий бэкдор Grimbolt. Написан он на C# и скомпилирован с применением относительно новой техники сборки — всё это делает его заметно быстрее и существенно сложнее для разбора по сравнению с предшественником по имени Brickstorm. По всей видимости, авторы заранее позаботились о том, чтобы аналитики безопасности помучились с обратной инженерией.

В сентябре 2025 года исследователи зафиксировали момент, когда группировка переключилась с Brickstorm на Grimbolt. Произошло ли это по заранее намеченному плану или стало вынужденным манёвром в ответ на расследование, которое вели Mandiant и отраслевые партнёры — вопрос, на который сегодня нет однозначного ответа. Исследователи из Mandiant и Google Threat Intelligence Group допускают оба варианта, и каждый из них одинаково правдоподобен.

То, что атаки шли с середины 2024 года, а публично о них заговорили лишь сейчас, само по себе красноречиво. UNC6201 работала в режиме радиомолчания больше года. За это время группировка успела обновить арсенал, сменить основной инструмент и, вероятно, собрать всё, что представляло для неё интерес.