A kínai hekkerek lecsaptak: kritikus Dell-hibát használnak ki

Új generációs kártevők a célkeresztben

A behatolás után az UNC6201 nevű kínai csoport többféle kártékony programot telepített, köztük a vadonatúj Grimbolt nevű hátsó kaput. Ez a C# nyelven írt kártevő gyorsabb és nehezebben elemezhető, mint a korábbi, Brickstorm nevű változat. Bár a két program közti váltás 2025 szeptemberében történt, az okok nem teljesen tisztázottak; lehet, hogy a védekezési lépésekre reagáltak így, de az is elképzelhető, hogy egyszerű frissítésről volt szó.

Trükkös technikák a VMware ESXi szervereken

A támadók innovatív módszerekkel próbáltak minél mélyebbre jutni az áldozatok infrastruktúrájában. Ilyenek például a rejtett Ghost NIC-ek, vagyis rejtett hálózati interfészek, amelyek segítségével észrevétlenül mozoghattak az érintett szerverek és belső hálózatok között. Ezek a megoldások különösen ott hatékonyak, ahol nincs hagyományos végponti védelem telepítve, ezért a hackerek hosszú időn át észrevétlenek tudtak maradni.

Kínai hackercsoportok kapcsolatai

A nyomozás összefüggéseket talált az UNC6201 és egy másik ismert, UNC5221 nevű kínai fenyegetés között, amely szintén saját fejlesztésű kártevőkkel operál, és korábban a Silk Typhoon nevű államilag támogatott csoporthoz kapcsolták őket. Ezek a támadók főként amerikai jogi és technológiai cégeket céloznak meg, de technikáik folyamatosan fejlődnek.

Mit tehetnek a Dell ügyfelek?

A további támadások megelőzése érdekében a Dell ügyfeleknek ajánlott mielőbb telepíteniük a hivatalosan közzétett javítást a CVE-2026-22769 azonosítójú sebezhetőségre, hogy ne kerüljenek a kínai hackerek célkeresztjébe.

2025, adrienne, www.bleepingcomputer.com alapján