Eine chinesische Hackergruppe hat über anderthalb Jahre unentdeckt eine kritische Schwachstelle in Dells Notfallwiederherstellungs-Software ausgenutzt. Die Lücke erlaubte die vollständige Übernahme von Unternehmensnetzwerken.
Die als UNC6201 bekannte, mit China in Verbindung stehende Gruppe nutzte die Zero-Day-Schwachstelle CVE-2026-22769 in Dells „RecoverPoint for Virtual Machines“ bereits seit Mitte 2024 aus. Das geht aus aktuellen Untersuchungen von Google und Mandiant hervor. Die Schwachstelle mit der höchsten Gefahrenstufe 10,0 ermöglichte Angreifern uneingeschränkten Root-Zugriff auf die zentrale Datensicherungsinfrastruktur. Erst jetzt wurde ein Patch veröffentlicht.
Eingebafter Master-Schlüssel in der Software
Das Kernproblem lag in fest eingebauten Anmeldedaten innerhalb der Software. Bei Dell RecoverPoint for Virtual Machines in Versionen vor 6.0.3.1 HF1 war ein statisches Passwort direkt im Code hinterlegt – ein klassischer, aber folgenschwerer Konstruktionsfehler. Wer diese Credentials kannte, konnte sich mit Administratorrechten am zugrundeliegenden Betriebssystem anmelden.
Die Angreifer nutzten diesen „Master-Schlüssel“, um sich beim Apache Tomcat-Webserver der Dell-Appliance anzumelden. Von dort aus installierten sie schädliche WAR-Dateien. Diese dienten als Einstiegspunkt für Malware, die für dauerhaften Zugriff, die Bewegung im Netzwerk und den Diebstahl von Daten ausgelegt war. Dell rät allen Kunden dringend, auf die gepatchte Version zu aktualisieren.
Mehrstufiger Angriff mit neuartiger Schadsoftware
Die Analyse zeigt ein ausgeklügeltes, mehrstufiges Vorgehen. Nach dem Erstzugriff via CVE-2026-22769 installierten die Hacker die Web-Shell SLAYSTYLE. Diese bot einen dauerhaften Fernzugriff auf das kompromittierte Notfallwiederherstellungs-System.
Im nächsten Schritt folgten komplexere Backdoors: Neben der bekannten Malware BRICKSTORM setzte die Gruppe das neu entdeckte Tool GRIMBOLT ein. Dieses in C## geschriebene Programm gewährt eine Fernsteuerung des Systems und erlaubt es, tiefer in virtualisierte Umgebungen vorzudringen. Forscher sehen Verbindungen zu einer weiteren chinesischen Gruppe, UNC5221 (auch Silk Typhoon), die für Spionageangriffe auf Unternehmensinfrastruktur bekannt ist. Die lange unentdeckte Kampagne unterstreicht den Fokus der Gruppe auf Tarnung und dauerhaften Zugang zu wertvollen Netzwerken.
Alarmsignal für die Unternehmenssicherheit
Der Angriff auf ein Produkt zur Datensicherung und Notfallwiederherstellung ist besonders brisant. Diese Appliances sind tief in die IT-Infrastruktur eingebunden – besonders in VMware-Umgebungen – und haben privilegierten Zugang zu kritischen Systemen und Backups. Eine Kompromittierung bietet Angreifern eine perfekte Basis, um Netzwerkverkehr zu überwachen, sensible Daten abzugreifen und zu weiteren wichtigen Zielen im Netz vorzudringen.
Sicherheitsexperten beobachten einen Trend: Staatlich unterstützte Hacker zielen zunehmend auf Randgeräte und Infrastruktur-Hardware ab. Diese werden oft weniger streng überwacht als Server oder Endgeräte, bieten bei erfolgreichem Angriff aber enorme strategische Vorteile. Die von UNC6201 genutzten Techniken, wie das Erstellen unsichtbarer virtueller Netzwerkkarten („Ghost NICs“), zeigen deren hohes technisches Niveau und den Willen, unentdeckt zu bleiben.
Jetzt handeln: Patchen und Netzwerke überprüfen
Dell hat mit Version 6.0.3.1 HF1 einen Patch bereitgestellt und drängt auf sofortige Installation. Für Organisationen, die nicht sofort patchen können, bietet das Unternehmen alternative Anleitungen. Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle in ihren Katalog bekannter, ausgenutzter Lücken aufgenommen und gibt Behörden eine Frist für das Patchen vor.
IT‑Verantwortliche sollten jetzt mehr tun als nur den Patch einspielen. Ein kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt, welche Sofortmaßnahmen helfen, Notfallwiederherstellungssysteme abzusichern, wie Sie gezielte APT‑Angriffe erkennen und welche Kontroll-Checks jetzt dringend laufen sollten. Praxistipps und Checklisten speziell für Unternehmen. Jetzt kostenloses Cyber‑Security-E-Book herunterladen
Experten raten betroffenen Unternehmen zu mehr als nur dem Patch: Sie sollten aktiv in ihren Netzwerken nach Kompromittierungen suchen. Dazu gehört die Suche nach Indikatoren für BRICKSTORM und GRIMBOLT sowie die Überprüfung von Logdateien auf ungewöhnliche Anmeldeversuche oder Netzwerkaktivitäten von RecoverPoint-Appliances. Der Vorfall ist eine deutliche Warnung vor der anhaltenden Bedrohung durch staatliche Akteure und unterstreicht die kritische Bedeutung eines wachsamen Patch-Managements – besonders für internetorientierte Infrastrukturgeräte.
