Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli analisti di Mandiant e del Google Threat Intelligence Group (GTIG) hanno attribuito le operazioni al gruppo UNC6201, un cluster di minacce sospettato di avere legami con la Repubblica Popolare Cinese. Il gruppo mostra sovrapposizioni tattiche con l’attore noto come Silk Typhoon (UNC5221).
Nel panorama della cybersecurity del 2026, la falla tracciata come CVE-2026-22769 emerge come un caso di scuola su quanto possa essere devastante una negligenza nella gestione delle credenziali.
Con un punteggio di gravità CVSS 10.0, questa vulnerabilità ha permesso ad attori statali di operare indisturbati per oltre un anno all’interno dei sistemi Dell RecoverPoint for Virtual Machines.
La cosa interessante, è che questo gruppo ha sfruttato questa falla almeno dalla metà del 2024 per spostarsi lateralmente, mantenere un accesso persistente e distribuire malware tra cui SLAYSTYLE, BRICKSTORM e una nuova backdoor monitorata come GRIMBOLT
La vulnerabilità non risiede in un complesso errore di programmazione, ma in una drastica svista di configurazione.
Gli analisti hanno scoperto che il componente Apache Tomcat Manager, integrato nel software Dell, conteneva un set di credenziali predefinite (hard-coded) per l’utente “admin”.
Queste password “di fabbrica”, rintracciate nel file di sistema /home/kos/tomcat9/tomcat-users.xml, sono rimaste identiche su scala globale, trasformandosi in una chiave universale per qualsiasi malintenzionato a conoscenza del segreto.
Sfruttare questa falla è apparso disarmante nella sua semplicità per il gruppo UNC6201. Una volta ottenute le credenziali, la sequenza dell’attacco si è articolata in tre fasi critiche:
/manager/text/deploy, i criminali caricano un file WAR malevolo. Questo pacchetto agisce come un cavallo di Troia moderno, installando la web shell SLAYSTYLE.L’aspetto più insidioso della CVE-2026-22769 è come sia stata utilizzata per garantire una presenza a lungo termine nelle reti vittime. Dopo il primo accesso, gli aggressori hanno modificato uno script di shell legittimo dell’appliance, denominato convert_hosts.sh.
Inserendo il percorso della loro backdoor (come BRICKSTORM o la più recente GRIMBOLT) all’interno di questo script, sono riusciti a sfruttare il processo di avvio rc.local. Il risultato? Ogni volta che il sistema viene riavviato, la backdoor si riattiva automaticamente, rendendo l’infezione estremamente difficile da eradicare con un semplice reboot.
Lo sfruttamento di questa CVE ha aperto la strada a strumenti di nuova generazione. Il report evidenzia il debutto di GRIMBOLT, una backdoor che segna un salto di qualità nel cyber-spionaggio. Scritta in C# ma compilata in modalità Native AOT (Ahead-of-Time), GRIMBOLT non si comporta come i comuni software .NET.
Essendo convertito direttamente in codice macchina nativo, il malware nasconde i metadati che solitamente permettono ai software di difesa di identificarlo. Questa tecnica, unita alla compressione UPX, rende GRIMBOLT un “fantasma” digitale capace di operare con altissime prestazioni anche su dispositivi con risorse limitate, confermando che la CVE-2026-22769 è stata solo l’inizio di una compromissione molto più profonda.
Indicatori di compromissione
| Family | File Name | SHA256 |
| GRIMBOLT | support | 24a11a26a2586f4fba7bfe89df2e21a0809ad85069e442da98c37c4add369a0c |
| GRIMBOLT | out_elf_2 | dfb37247d12351ef9708cb6631ce2d7017897503657c6b882a711c0da8a9a591 |
| SLAYSTYLE | default_jsp.java | 92fb4ad6dee9362d0596fda7bbcfe1ba353f812ea801d1870e37bfc6376e624a |
| BRICKSTORM | N/A | aa688682d44f0c6b0ed7f30b981a609100107f2d414a3a6e5808671b112d1878 |
| BRICKSTORM | splisten | 2388ed7aee0b6b392778e8f9e98871c06499f476c9e7eae6ca0916f827fe65df |
| BRICKSTORM | N/A | 320a0b5d4900697e125cebb5ff03dee7368f8f087db1c1570b0b62f5a986d759 |
| BRICKSTORM | N/A | 90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035 |
| BRICKSTORM | N/A | 45313a6745803a7f57ff35f5397fdf117eaec008a76417e6e2ac8a6280f7d830 |
