Une faille dans RecoverPoint de Dell exploitée pendant 18 mois

Un groupe APT chinois a mené une campagne d'attaques sur des environnements VMware pendant plus d'un an et demi. Il a exploité une faille dans l'outil RecoverPoint de Dell depuis corrigée. De son côté, la CISA demande aux agences fédérales d'appliquer le correctif d'ici trois jours.

La persistance est souvent la clé du piratage. Une leçon bien apprise par un groupe APT chinois découvert par les équipes de Mandiant, filiale cybersécurité de Google. En effet, Il a exploité pendant plus d’un an et demi une faille dans RevoverPoint for Virtual Machines, un outil de reprise après incident pour les environnements VMware. Elle touche de nombreuses versions du logiciel allant de la 5.3 SP4 P1 à 6.0 SP3 P1. Dell recommande de télécharger la version corrigée 6.03.1 HF1 ou, à défaut, l’utilisation d’un script de remédiation fourni.

La vulnérabilité CVE-2026-22769 est un problème d’identification codée en dur, en l’espèce un mot de passe administrateur préconfiguré dans un serveur web Apache Tomcat. Dans leur enquête, les chercheurs de Mandiant ont également trouvé deux backdoor nommées Brickstorm et Grimbolt. Elle souvent utilisées par un groupe APT chinois connu sous le nom UNC6201 et réputé pour cibler les infrastructures VMware. D’autres sociétés de sécurité évoquent aussi le groupe Silk Typhoon ou APT27, soutenu par l'État chinois comme étant derrière cette campagne. La backdoor Grimbolt est « un malware qui permet aux attaquants de contrôler une machine à distance. Écrit en C# et optimisé pour être furtif, il utilise le même système de commandes que le malware précédent, Brickstorm », souligne Mandiant.

La CISA laisse 3 jours pour corriger la faille

L’enquête a révélé que les attaquants utilisaient des techniques sophistiquées pour rester invisibles. Par exemple, le script shell convert_hosts.sh, présent sur les appliances, a été modifié pour inclure le chemin des backdoors et garantir leur persistance. Le web shell Slaystyle, conçu pour recevoir des commandes HTTP, a été utilisé pour configurer des règles de proxy via iptables, redirigeant silencieusement le trafic HTTPS du port 443 vers le port 10443 pendant 5 minutes. Autre innovation : la création de ports réseau temporaires sur des machines virtuelles existantes sur les serveurs ESXi, permettant d’accéder à d’autres services dans l’environnement. Charles Carmakal, CTO de Mandiant, décrit cette technique sur LinkedIn comme le déploiement de «NIC fantômes» sur des machines virtuelles, rendant les investigations incapables de suivre certaines adresses IP inexistantes et non documentées.

Si Dell a corrigé la faille et Mandiant a fourni des indicateurs de compromission et des règles Yara pour détecter Grimbolt et Brickstorm, la CISA est montée au créneau pour demander aux agences fédérales civiles de corriger la faille de Dell dans les trois jours. Elles ont donc jusqu’au 21 février pour appliquer le correctif ou les mesures d’atténuation. L’agence indiqué dans son alerte que « ce type de vulnérabilités est un vecteur d’attaque fréquent pour les cybercriminels ».