Sintesi: CVE-2026-22769 è una vulnerabilità critica (CVSS 10.0) in Dell RecoverPoint for Virtual Machines causata da credenziali admin hardcoded nel file tomcat-users.xml. Consente accesso root remoto senza autenticazione. Attivamente sfruttata dal gruppo APT UNC6201 (Silk Typhoon) dal mid-2024 per distribuire i malware SLAYSTYLE, BRICKSTORM e GRIMBOLT. Patch disponibile: versione 6.0.3.1 HF1.
Sintesi: CVE-2026-22769 è una vulnerabilità critica (CVSS 10.0) in Dell RecoverPoint for Virtual Machines causata da credenziali admin hardcoded nel file tomcat-users.xml. Consente accesso root remoto senza autenticazione. Attivamente sfruttata dal gruppo APT UNC6201 (Silk Typhoon) dal mid-2024 per distribuire i malware SLAYSTYLE, BRICKSTORM e GRIMBOLT. Patch disponibile: versione 6.0.3.1 HF1.
Dell RecoverPoint per Virtual Machines è stato colpito da un zero-day critico identificato come CVE-2026-22769, con punteggio CVSS 10.0. La falla sfrutta credenziali admin hardcoded nel file /home/kos/tomcat9/tomcat-users.xml, permettendo agli attaccanti di accedere senza autenticazione al Tomcat Manager e caricare WAR malevoli.
Gruppi come UNC6201, sospettati di legami con la PRC e simili a Silk Typhoon (UNC5221), hanno impiegato questa vulnerabilità per movimenti laterali, persistenza e deploy di malware complessi come SLAYSTYLE, BRICKSTORM e la nuova backdoor GRIMBOLT. Le tecniche osservate includono creazione di interfacce “Ghost NICs” e gestione stealth del traffico via Single Packet Authorization (SPA), rendendo quasi invisibile il canale C2.
Dell RecoverPoint for Virtual Machines, versions prior to 6.0.3.1 HF1, contain a hardcoded credential vulnerability. This is considered critical as an unauthenticated remote attacker with knowledge of the hardcoded credential could potentially exploit this vulnerability leading to unauthorized access to the underlying operating system and root-level persistence. Dell recommends that customers upgrade or apply one of the remediations as soon as possible.
10.0
Evoluzione Malware: da BRICKSTORM a GRIMBOLT
La campagna ha visto una transizione da BRICKSTORM a GRIMBOLT a settembre 2025. GRIMBOLT è scritto in C# e compilato Ahead-of-Time (AOT), eliminando metadati CIL rilevabili dagli strumenti di sicurezza e complicando l’analisi statica grazie al packing con UPX. Per mantenere la persistenza, il backdoor modifica lo script convert_hosts.sh per eseguire automaticamente all’avvio via rc.local.
Queste scelte mostrano una maturazione tecnica: malware ottimizzato per dispositivi edge, esecuzione stealth e capacità di eludere monitoraggi tradizionali. L’uso di SLAYSTYLE, installato tramite WAR upload, garantisce accesso root completo, confermando la gravità dell’exploit.
Versioni Affette e Mitigazioni
Dell ha pubblicato linee guida urgenti per mitigare la falla. Versioni critiche:
Versione Attuale
Azione Necessaria
Note Tecniche
5.3 SP4 P1
Migrare a 6.0 SP3 $\rightarrow$ poi 6.0.3.1 HF1
È un doppio salto necessario per allineare il database interno e le policy di sicurezza di Tomcat.
6.0 fino a 6.0 SP3 P1
Upgrade a 6.0.3.1 HF1 o Script
Questa è la fascia più colpita (dove GRIMBOLT è stato più attivo). L’HotFix 1 (HF1) chiude la falla del file tomcat-users.xml.
5.3 SP4 e precedenti
Upgrade a 5.3 SP4 P1 o 6.x + Script
Le versioni legacy richiedono lo script manuale perché l’installer automatico potrebbe non sovrascrivere correttamente le configurazioni XML personalizzate.
Per verificare se la propria installazione è vulnerabile, controllare /home/kos/tomcat9/tomcat-users.xml e confrontare la versione del prodotto con quelle sopra indicate.
Indirizzo IP associato all’infrastruttura di UNC6201 (Host: Vultr).
La ricerca è stata condotta da Mandiant, che ha dettagliato ogni aspetto dell’exploit e delle tecniche di evasione.
Advertising
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.