Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Sintesi: CVE-2026-22769 è una vulnerabilità critica (CVSS 10.0) in Dell RecoverPoint for Virtual Machines causata da credenziali admin hardcoded nel file tomcat-users.xml. Consente accesso root remoto senza autenticazione. Attivamente sfruttata dal gruppo APT UNC6201 (Silk Typhoon) dal mid-2024 per distribuire i malware SLAYSTYLE, BRICKSTORM e GRIMBOLT. Patch disponibile: versione 6.0.3.1 HF1.
Dell RecoverPoint per Virtual Machines è stato colpito da un zero-day critico identificato come CVE-2026-22769, con punteggio CVSS 10.0. La falla sfrutta credenziali admin hardcoded nel file /home/kos/tomcat9/tomcat-users.xml, permettendo agli attaccanti di accedere senza autenticazione al Tomcat Manager e caricare WAR malevoli.
Gruppi come UNC6201, sospettati di legami con la PRC e simili a Silk Typhoon (UNC5221), hanno impiegato questa vulnerabilità per movimenti laterali, persistenza e deploy di malware complessi come SLAYSTYLE, BRICKSTORM e la nuova backdoor GRIMBOLT. Le tecniche osservate includono creazione di interfacce “Ghost NICs” e gestione stealth del traffico via Single Packet Authorization (SPA), rendendo quasi invisibile il canale C2.
| prietary Code CVEs | Description | CVSS Base Score |
| CVE-2026-22769 | Dell RecoverPoint for Virtual Machines, versions prior to 6.0.3.1 HF1, contain a hardcoded credential vulnerability. This is considered critical as an unauthenticated remote attacker with knowledge of the hardcoded credential could potentially exploit this vulnerability leading to unauthorized access to the underlying operating system and root-level persistence. Dell recommends that customers upgrade or apply one of the remediations as soon as possible. | 10.0 |
La campagna ha visto una transizione da BRICKSTORM a GRIMBOLT a settembre 2025. GRIMBOLT è scritto in C# e compilato Ahead-of-Time (AOT), eliminando metadati CIL rilevabili dagli strumenti di sicurezza e complicando l’analisi statica grazie al packing con UPX. Per mantenere la persistenza, il backdoor modifica lo script convert_hosts.sh per eseguire automaticamente all’avvio via rc.local.
Queste scelte mostrano una maturazione tecnica: malware ottimizzato per dispositivi edge, esecuzione stealth e capacità di eludere monitoraggi tradizionali. L’uso di SLAYSTYLE, installato tramite WAR upload, garantisce accesso root completo, confermando la gravità dell’exploit.
Dell ha pubblicato linee guida urgenti per mitigare la falla. Versioni critiche:
| Versione Attuale | Azione Necessaria | Note Tecniche |
| 5.3 SP4 P1 | Migrare a 6.0 SP3 $\rightarrow$ poi 6.0.3.1 HF1 | È un doppio salto necessario per allineare il database interno e le policy di sicurezza di Tomcat. |
| 6.0 fino a 6.0 SP3 P1 | Upgrade a 6.0.3.1 HF1 o Script | Questa è la fascia più colpita (dove GRIMBOLT è stato più attivo). L’HotFix 1 (HF1) chiude la falla del file tomcat-users.xml. |
| 5.3 SP4 e precedenti | Upgrade a 5.3 SP4 P1 o 6.x + Script | Le versioni legacy richiedono lo script manuale perché l’installer automatico potrebbe non sovrascrivere correttamente le configurazioni XML personalizzate. |
Per verificare se la propria installazione è vulnerabile, controllare /home/kos/tomcat9/tomcat-users.xml e confrontare la versione del prodotto con quelle sopra indicate.
| Tipo | Nome Malware / Endpoint | Hash SHA256 / Valore | Descrizione Tecnica |
| File | GRIMBOLT (support) | 24a11a26a2586f4fba7bfe89df2e21a0809ad85069e442da98c37c4add369a0c | Payload principale in C# AOT. Eseguibile nativo altamente stealth. |
| File | GRIMBOLT (out_elf_2) | dfb37247d12351ef9708cb6631ce2d7017897503657c6b882a711c0da8a9a591 | Variante ELF per Linux dell’agente GRIMBOLT. |
| File | SLAYSTYLE (default_jsp.java) | 92fb4ad6dee9362d0596fda7bbcfe1ba353f812ea801d1870e37bfc6376e624a | Webshell Java installata tramite Tomcat WAR upload per accesso root. |
| File | BRICKSTORM | aa688682d44f0c6b0ed7f30b981a609100107f2d414a3a6e5808671b112d1878 | Backdoor legacy in Go utilizzata per la persistenza iniziale. |
| Network | C2 Endpoint | wss://149.248.11.71/rest/apisession | Canale di Comando e Controllo via WebSocket (traffico cifrato). |
| Network | C2 IP Address | 149.248.11.71 | Indirizzo IP associato all’infrastruttura di UNC6201 (Host: Vultr). |
La ricerca è stata condotta da Mandiant, che ha dettagliato ogni aspetto dell’exploit e delle tecniche di evasione.
