Une vulnérabilité zero-day dans Dell RecoverPoint for Virtual Machines, exploitée depuis mi-2024 par un groupe lié à Pékin, a ouvert un accès persistant à des infrastructures VMware critiques. Dell a publié un correctif mardi, mais sans savoir jusqu'où remonte réellement l'exposition.
Un mot de passe universel, écrit directement dans le code du logiciel par les développeurs, soit codé en dur, et que n'importe quel attaquant peut utiliser sans avoir à pirater quoi que ce soit. C'est la faille qu'a découverte l'équipe Mandiant de Google en enquêtant sur des réseaux compromis depuis au moins juin 2024.
Le groupe UNC6201, soupçonné d'agir pour le compte de la République populaire de Chine, a exploité cette brèche pour installer plusieurs portes dérobées sur des machines cibles. « Nous avons reçu un signalement faisant état d'une exploitation active, quoique limitée », a déclaré un porte-parole de Dell mardi, en confirmant l'existence de la vulnérabilité et la publication d'un correctif.
Serveurs virtuels mais angles morts réels
Moins d'une douzaine d'organisations identifiées selon Mandiant, mais sur le terrain on ne connaît pas exactement l'étendue des dégâts. Dans son avis de sécurité officiel, Dell liste plusieurs anciennes versions du logiciel comme vulnérables, puis ajoute « et potentiellement des versions antérieures ». Ce « potentiellement » dit beaucoup : des organisations sous des versions non supportées depuis des années ont pu être exposées sans le savoir, sans patch applicable, sans même figurer dans les statistiques de Mandiant.
Dell précise par ailleurs que RecoverPoint Classic, sa version installée sur des serveurs physiques dédiés, n'est pas concernée. Seule la version virtualisée l'est. Pour comprendre pourquoi c'est important : VMware est un logiciel très répandu dans les grandes entreprises et les administrations, qui permet de faire tourner plusieurs ordinateurs simulés, les fameuses machines virtuelles,s ur un seul et même serveur physique. C'est économique, flexible, et massivement déployé dans les infrastructures professionnelles.
UNC6201 a précisément exploité cette architecture pour créer de fausses cartes réseau, des points de connexion temporaires et invisibles, directement sur ces machines virtuelles. Les attaquants se déplacent ainsi d'un serveur à l'autre sans jamais toucher aux équipements réseau physiques que les équipes de sécurité surveillent. Sur du matériel classique, ce vecteur n'existe pas. « Les acteurs étatiques ne se contentent pas d'infiltrer les réseaux », avait déclaré Nick Andersen, directeur adjoint exécutif de la cybersécurité à la CISA en décembre. « Ils s'y intègrent durablement afin de permettre un accès permanent, des perturbations et d'éventuels sabotages », avait-il ajouté.
Grimbolt, la mise à niveau discrète
En septembre 2025, UNC6201 a remplacé ses anciennes portes dérobées, Brickstorm et Slaystyle, par Grimbolt, un malware plus difficile à détecter par les antivirus et les outils d'analyse automatique. Même capacité d'accès à distance, même infrastructure de pilotage, empreinte encore plus réduite. La note de dangerosité de la faille exploitée pour les déployer, CVE-2026-22769, est de 10/10, le maximum.
Pour s'assurer de rester présents même après un redémarrage des serveurs, les attaquants ont modifié un script de démarrage légitime fourni par Dell. À chaque redémarrage, la porte dérobée se relançait automatiquement.
Mandiant recommande aux organisations précédemment ciblées par Brickstorm de chercher activement des traces de Grimbolt. Mais si le patch Dell est disponible, rien ne dit la date à partir de laquelle certaines de ces organisations étaient déjà exposées.
Source : The Register
