Uma vulnerabilidade zero-day no software Dell RecoverPoint, rastreada como CVE-2026-22769, tem sido explorada por um grupo de ciberespionagem chinês conhecido como UNC6201 desde pelo menos 2024. A descoberta foi divulgada pela GTIG e pela Mandiant, destacando uma campanha prolongada e direcionada contra organizações que utilizam a solução de recuperação de desastres da Dell.
Descoberta e escopo
O CVE-2026-22769 é uma falha crítica no Dell RecoverPoint, um produto usado para replicação de dados e recuperação de desastres. A exploração bem-sucedida permite que atacantes remotos não autenticados executem código arbitrário no sistema afetado. O grupo UNC6201, associado a interesses chineses, tem utilizado esta vulnerabilidade para obter acesso inicial a redes de alto valor, frequentemente como parte de operações de espionagem mais amplas.
Evidências e limites
Os pesquisadores observaram que a exploração deste zero-day tem sido seletiva e direcionada, focando em setores específicos como governo, defesa e tecnologia. A Mandiant rastreou a atividade do UNC6201 por um período significativo, vinculando-a a outras campanhas de espionagem conhecidas. A Dell emitiu um patch para a vulnerabilidade, e a CISA provavelmente a adicionará ao seu catálogo KEV em breve, dada a natureza da exploração ativa.
Implicações para a segurança corporativa
Esta descoberta ressalta os riscos persistentes associados a vulnerabilidades em software de infraestrutura crítica, como soluções de backup e recuperação. Organizações que utilizam o Dell RecoverPoint devem aplicar imediatamente o patch fornecido pela Dell. Além disso, é recomendável revisar logs de acesso e atividade de rede em busca de sinais de comprometimento, especialmente tráfego incomum de ou para os sistemas RecoverPoint. A natureza direcionada do ataque sugere que os defensores devem assumir uma postura de "confiança zero" em relação ao tráfego de rede interno envolvendo esses sistemas.