Investigadores revelan que el grupo UNC6201 ha estado abusando de credenciales codificadas en “Dell RecoverPoint” desde mediados de 2024 para instalar backdoors indetectables y crear tarjetas de red “fantasma”.
A veces, el mayor peligro no es un ataque destructivo que hace ruido, sino un intruso silencioso que se queda a vivir en tus servidores. Hoy 18 de febrero de 2026, que un grupo de hackers presuntamente respaldado por el estado chino ha estado explotando una vulnerabilidad de zero day en soluciones empresariales de Dell durante casi dos años.
El equipo de Inteligencia de Amenazas de Google (GTIG) ha rastreado esta campaña de largo aliento atribuida al grupo UNC6201, descubriendo tácticas de evasión nunca antes vistas diseñadas específicamente para eludir la detección en entornos virtualizados.
El Agujero de Seguridad: Credenciales “Hardcodeadas”
El vector de entrada de los atacantes es la vulnerabilidad CVE-2026-22769, calificada como crítica.
- El Objetivo: Dell RecoverPoint for Virtual Machines, un software empresarial crítico utilizado para realizar copias de seguridad y recuperación de desastres de máquinas virtuales VMware.
- El Fallo: Versiones anteriores a la 6.0.3.1 HF1 contienen credenciales codificadas en el propio software (hardcoded).
- El Impacto: Un atacante remoto sin autenticación, que conozca estas credenciales maestras, puede obtener acceso directo al sistema operativo subyacente y establecer persistencia con privilegios de administrador (root).
De “Brickstorm” a “Grimbolt”: Evolución del Arsenal
Una vez dentro, el grupo UNC6201 demostró una notable capacidad de adaptación. Inicialmente, utilizaban un backdoor conocido como Brickstorm. Sin embargo, en septiembre de 2025, tras ser detectados en algunos entornos de respuesta a incidentes, los atacantes cambiaron su arsenal por Grimbolt. Este nuevo malware, escrito en C#, utiliza técnicas de compilación recientes que lo hacen significativamente más rápido y, sobre todo, mucho más difícil de aplicar ingeniería inversa por parte de los analistas de seguridad.
La Táctica “Ghost NIC”: Redes Fantasma en tu ESXi
El descubrimiento más alarmante es cómo los atacantes se movían lateralmente sin ser detectados por las herramientas EDR tradicionales.
- El grupo logró crear puertos de red virtual temporales (bautizados como “Ghost NICs” o Tarjetas de Interfaz de Red Fantasma) directamente en los servidores VMware ESXi comprometidos.
- Utilizando estas conexiones ocultas, podían pivotar desde las máquinas virtuales infectadas hacia redes internas ultra-seguras o entornos SaaS sin dejar rastro en los registros de tráfico habituales.
- Como señala Mandiant, los atacantes apuntan deliberadamente a estos appliances (dispositivos de infraestructura) porque históricamente las empresas no instalan agentes antivirus o EDR en ellos, asumiendo erróneamente que son seguros por diseño.
¿Quién es UNC6201?
La telemetría sugiere fuertes solapamientos entre este grupo y UNC5221 (también conocido como Warp Panda o vinculado a Silk Typhoon). Estos actores tienen un largo historial de comprometer a organizaciones de los sectores legal, tecnológico y de manufactura en Estados Unidos, utilizando zero days en dispositivos perimetrales (como los recientes de Ivanti) para robar propiedad intelectual a largo plazo.
Acción Inmediata
Si tu organización utiliza Dell RecoverPoint for Virtual Machines, debes asumir que estás en riesgo.
- Parchear Inmediatamente: Actualiza a la versión 6.0.3.1 HF1 o superior, siguiendo las guías de remediación publicadas por Dell el martes.
- Caza de Amenazas: Revisa la configuración de tus hipervisores ESXi en busca de interfaces de red anómalas o tráfico no documentado saliendo de tus appliances de respaldo.
