De BRICKSTORM a GRIMBOLT: UNC6201 Explora Zero-Day no Dell RecoverPoint for Virtual Machines

Mandiant e GTIG detalharam como o grupo UNC6201 explorou a vulnerabilidade CVE-2026-22769 (CVSS 10.0), uma credencial de administrador hardcoded na configuração do Apache Tomcat do Dell RecoverPoint, localizada em /home/kos/tomcat9/tomcat-users.xml. Essa falha permitiu a implantação não autenticada de arquivos WAR via /manager/text/deploy, possibilitando a execução de código em nível de root. A persistência foi estabelecida através do sequestro do script convert_hosts.sh, executado na inicialização via rc.local.

GRIMBOLT, um backdoor C# que substituiu BRICKSTORM em setembro de 2025, foi compilado com native AOT para remover metadados CIL, dificultando a análise estática. Ele compartilha a infraestrutura de C2 com seu predecessor e introduz novas técnicas de movimento lateral em ambientes VMware, como o uso de "Ghost NICs" e Single Packet Authorization baseado em iptables em appliances vCenter comprometidos. ️ As empresas devem verificar /home/kos/auditlog/fapi_cl_audit_log.log para solicitações ao /manager, buscar por GRIMBOLT usando as YARA rules e IOCs publicados, aplicar imediatamente o patch da Dell e monitorar alterações em convert_hosts.sh.