中国の疑わしいスパイ活動グループが、Dell RecoverPoint for Virtual Machinesにハードコードされた管理者認証情報を悪用し、Webシェルを展開してエンタープライズVMware環境での永続化を実現していました。
過去18ヶ月間、中国のサイバースパイ活動グループは、Dell RecoverPoint for Virtual MachinesというVM災害復旧ソリューションの未知の脆弱性を悪用していました。この脆弱性は、今週Dellによってパッチ提供されたもので、認証されていない攻撃者が基盤となるOSにrootとしてコマンド実行アクセスを取得することができます。
この脆弱性はCVE-2026-22769として追跡されており、Apache Tomcat Managerのハードコードされた管理者認証情報が原因で、悪意のあるWAR(Webアプリケーションアーカイブ)ファイルのデプロイに利用される可能性があります。Apache Tomcatはジャバベースのウェブアプリケーション用のウェブサーバーです。
GoogleのMandiantチームの研究者らは、顧客環境内の複数の侵害されたDell RecoverPoint for Virtual Machinesインスタンスがコマンド・アンド・コントロール(C2)トラフィックを送出しているのを調査している最中に、この重大な脆弱性を発見しました。このトラフィックはBRICKSTORMおよびGRIMBOLTという2つのバックドアに関連していました。これらのバックドアはMandiantがUNC6201として追跡している中国関連のAPTグループによって使用されており、VMware関連のエンタープライズインフラをターゲットにすることで知られています。
Dell RecoverPoint for Virtual Machinesはコンポーネント環境向けのデータレプリケーション・保護アプライアンスであり、このグループにとって魅力的なターゲットになります。この新しい脆弱性は、バージョン5.3 SP4 P1、6.0、6.0 SP1、6.0 SP1 P1、6.0 SP1 P2、6.0 SP2、6.0 SP2 P1、6.0 SP3、および6.0 SP3 P1に影響を与えます。顧客は、パッチが適用されたバージョン6.0.3.1 HF1へのアップグレードを強くお勧めしますが、すぐにできない場合、Dellは修復スクリプトもリリースしています。
攻撃者がBRICKSTORMからGRIMBOLTへアップグレード
UNC6201の活動は、MandiantおよびSilk TyphoonまたはAPT27として他のセキュリティ企業に属する可能性があると考えられています。しかし、Googleはこれが異なる脅威アクターであると考えています。
UNC5221は過去数年の間に米国の法務サービス会社、SaaSプロバイダー、ビジネスプロセスアウトソーサー、およびテクノロジー企業のネットワークを侵害し、Linuxバックドアであるを展開し、侵害されたvCenter導入にインストールされたSLAYSTYLEという名前のウェブシェルも展開しました。
BRICKSTORMとSLAYSTYLEの両方も、UNC6201に属するとされている新しいDell RecoverPointの侵害で観察されています。しかし、脅威アクターはGRIMBOLTという名前の新しいバックドアも展開しました。
「GRIMBOLTはネイティブ事前コンパイル(AOT)コンパイルを使用してコンパイルされたC#で書かれたフットホールドバックドアであり、UPXで圧縮されています」とMandiantの研究者らは述べています。「これはリモートシェル機能を提供し、以前に展開されたBRICKSTORMペイロードと同じコマンドアンドコントロールを使用しています。」
UNC6201が2024年半ばからCVE-2026-22769を悪用してSLAYSTYLEウェブシェルを展開しているという証拠があります。しかし、BRICKSTORMをGRIMBOLTに置き換えることは2025年9月まで行われませんでした。これが計画的な反復の結果であったか、あるいはMandiantおよび他のセキュリティ企業によってBRICKSTORMが当時公開された際の反応であったかは不明です。
ピボット技術
ペイロード自体に加えて、調査では新しい技術も明らかになりました。例えば、これらのアプライアンスに存在する正当なシェルスクリプトconvert_hosts.shは、永続化を実現するためにバックドアのパスを含むように改変されていました。
HTTPを介してコマンドを受け取るように設計されたSLAYSTYLEウェブシェルは、Linuxのiptablesユーティリティを使用してプロキシルールを設定するために使用されました。すなわち、特定のHEX文字列を含むポート443(HTTPS)への受信トラフィックが、次の5分間、ポート10443にサイレントにリダイレクトされました。
別の新規な技術は、VMware ESXiサーバー上の既存の仮想マシンに一時的なネットワークポートを作成して、環境内の他のサービスにアクセスすることでした。
Mandiantの最高技術責任者(CTO)であるCharles Carmakalは、この技術をLinkedInで「防御者を逃れるために仮想マシンに「ゴーストNIC」を展開する」と説明しました。これは調査者をもう存在しない、および記録されたことのないIPアドレスからのネットワークアクティビティを追跡させました。
ネットワークエッジアプライアンスは、高度な攻撃者にとってエンタープライズネットワークへの一般的なエントリーポイントになっています。これらのアプライアンスは通常、ロギングソリューションでカバーされておらず、エンドポイントマルウェア検出がなく、膨大な認証情報を含み、内部サービスへの優れたピボットポイントを提供します。
DellはRecoverPoint for VMを、公開しているインフラストラクチャ上ではなく、信頼できるアクセス制御されたネットワーク内に展開し、適切なファイアウォールとセグメンテーションの背後に配置することを推奨しています。一方、Mandiantブログ投稿には、新しいGRIMBOLTおよびSLAYSTYLEペイロードの侵害指標およびYARA検出ルールが含まれています。
