Durante meses, os cibercriminosos chineses, sob ordens de Pequim, têm explorado uma falha crítica no software da Dell para realizar operações de espionagem em grande escala. Detectado pela Mandiant e pelo Google Threat Intelligence Group, o ataque cibernético passou despercebido por 18 meses…
Desde meados de 2024, hackers chineses têm explorado uma vulnerabilidade identificada no software Dell para orquestrar ataques cibernéticos. A campanha foi descoberta recentemente por pesquisadores de segurança da Mandiant e do Google Threat Intelligence Group (GTIG). Segundo especialistas, os hackers são encomendados pela China.
Leia também: Ataques cibernéticos chineses e Gemini – Google espera um “golpe duro”
Uma falha crítica no software Dell
Por ordem de Pequim, os cibercriminosos, conhecidos pelo codinome UNC6201, estão se aproveitando de uma falha no Dell RecoverPoint for Virtual Machines, software de backup e recuperação resposta especializada a incidentes para máquinas virtuais VMware. A operação visa principalmente servidores especializados que gerenciam backups de máquinas virtuais VMware de uma empresa.
Como a Dell indica em seu site, a falha, considerada crítica, é um “vulnerabilidade de credenciais codificadas”. Concretamente, um hacker remoto pode usar uma senha pré-instalada no software para ignorar a autenticação. Na verdade, esta é uma senha de administrador pré-configurada em um componente Apache Tomcat usado pelo software RecoverPoint.
Ao usar esta senha, um invasor pode assuma o controle total da máquina Dell e permanecer lá permanentemente, com os maiores direitos possíveis no sistema operacional. Sem surpresa, “A Dell recomenda que os clientes atualizem seus sistemas ou apliquem uma das soluções corretivas o mais rápido possível”.
Leia também: Ciberataques chineses afetam “dezenas de países”, alertam os Estados Unidos
Uma porta dos fundos
Depois de explorar esta vulnerabilidade para penetrar no sistema, os hackers chineses implantam vários malwares, como o backdoor Brickstorm. Entre a primavera de 2024 e 2025, o grupo passa gradualmente de Brickstorm para outro backdoor mais novo e sofisticadoGrimbolt. Este vírus está programado para passar despercebido pelo radar das soluções de segurança. Os hackers entrarão na infraestrutura por meio de ambientes VMware. O objetivo dos hackers é obviamente coletar informações confidenciais sobre empresas hackeadas.
A Dell só disponibilizou o patch em fevereiro de 2026. A vulnerabilidade foi, portanto, operado por pelo menos 18 meses antes que os pesquisadores o descobrissem. As equipes do GTIG e da Mandiant indicam que o grupo conseguiu permanecer oculto em determinadas redes empresariais por mais de 400 dias. De acordo com as investigações da Dell, menos de uma dúzia de organizações foram comprometidas pela falha. Observe que a gangue provavelmente permanece ativa em máquinas que ainda estão vulneráveis. Portanto, é essencial instalar as atualizações implantadas pela Dell nos dispositivos afetados.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.