Seguir 
SOC Prime ha cubierto recientemente una ola de zero-days explotados activamente en los principales ecosistemas, incluidos los de Apple CVE-2026-20700 y Microsoft CVE-2026-20805, junto con un nuevo caso de zero-day de Chrome . Pero la avalancha de amenazas sigue avanzando hacia 2026. Recientemente, investigadores de Mandiant y del Grupo de Inteligencia de Amenazas de Google (GTIG) detallaron la explotación activa de CVE-2026-22769, una vulnerabilidad de credenciales codificadas de máxima severidad en productos de Dell.
El foco está en Dell RecoverPoint para Máquinas Virtuales, una solución de respaldo y recuperación ante desastres enfocada en VMware que se ha convertido en el objetivo de una campaña de zero-day en estado salvaje atribuida a una actividad sospechosa con nexos en China. Rastreado con un puntaje CVSS de 10.0, se informa que CVE-2026-22769 ha sido explotado por el grupo vinculado a China UNC6201 al menos desde mediados de 2024, permitiendo a los atacantes establecer acceso y desplegar múltiples familias de malware, incluyendo BRICKSTORM y GRIMBOLT.
La plataforma SOC Prime ayuda a los equipos de seguridad a cerrar la brecha entre «se divulgó un CVE» y «tenemos inteligencia de detección». Regístrate ahora para acceder al mayor conjunto de datos de inteligencia de detección del mundo, respaldado por soluciones avanzadas para llevar tu SOC al siguiente nivel. Haz clic en Explorar Detecciones para acceder al contenido de detección enfocado en vulnerabilidades prefiltrado por la etiqueta “CVE”.
Todas las reglas son compatibles con docenas de formatos SIEM, EDR y Data Lake y están mapeadas a MITRE ATT&CK®. Además, cada regla está enriquecida con metadatos extensivos, incluyendo referencias CTI, visualización del Flujo de Ataque, recomendaciones de evaluación, configuraciones de auditoría y más.
Los equipos de seguridad también pueden aprovechar Uncoder AI para acelerar la ingeniería de detección endde extremo aextremo mediante la generación de reglas directamente a partir de informes de amenazas en vivo, refinando y validando la lógica de detección, convirtiendo IOCs en consultas de búsqueda personalizadas, y traduciendo instantáneamente el código de detección a través de diversos formatos de lenguaje.
Análisis de CVE-2026-22769
En su asesoría del 17 de febrero de 2026, Dell describe CVE-2026-22769 como una vulnerabilidad de credencial codificada en Recuperación para Máquinas Virtuales anterior a 6.0.3.1 HF1, y le asigna una calificación de máxima severidad. Dell advierte que un atacante remoto no autenticado que conozca la credencial codificada podría obtener acceso no autorizado al sistema operativo subyacente e incluso establecer persistencia a nivel de raíz.
La investigación de GTIG y Mandiant añade el detalle operacional detrás de ese impacto. Los expertos en seguridad observaron actividad contra el administrador de Apache Tomcat del dispositivo, incluidas solicitudes web utilizando el nombre de usuario del administrador que resultaron en el despliegue de un archivo WAR malicioso que contenía el web shell SLAYSTYLE. Los investigadores luego rastrearon esto hasta encontrar credenciales por defecto codificadas para el usuario administrador en la configuración del administrador de Tomcat en /home/kos/tomcat9/tomcat-users.xml. Usando esas credenciales, un atacante podría autenticarse en el administrador de Tomcat y desplegar un WAR a través del /manager/text/deploy endpoint, lo que lleva a la ejecución de comandos como root en el dispositivo.
Se evalúa que UNC6201 utilizó este punto de apoyo para el movimiento lateral, la persistencia y el despliegue de malware, con la explotación identificada más temprana que data de mediados de 2024. El vector de acceso inicial no se confirmó en estos casos, pero GTIG señala que se sabe que UNC6201 tiene como objetivo dispositivos en el perímetro como punto de entrada.
La herramienta post-compromiso también evolucionó con el tiempo. Mandiant informa haber encontrado binarios de BRICKSTORM y luego observar un reemplazo con GRIMBOLT en septiembre de 2025. GRIMBOLT se describe como un backdoor de C# compilado utilizando compilación nativa anticipada (AOT) y empaquetado con UPX, proporcionando capacidad de shell remoto mientras usa el mismo C2 que BRICKSTORM. Los investigadores notan que no está claro si el intercambio fue una actualización planeada o una respuesta a la presión de respuesta a incidentes.
La actividad no se detuvo en el dispositivo de RecoverPoint. Mandiant informa que UNC6201 avanzó más en los entornos virtualizados de las víctimas al crear puertos de red virtuales temporales en servidores VMware ESXi, generando efectivamente conectividad de red oculta comúnmente referida como «Ghost NICs». Esta técnica permitió a los atacantes moverse silenciosamente desde las VMs comprometidas hacia redes internas más amplias y, en algunos casos, hacia entornos SaaS.
Los investigadores también informan superposiciones entre UNC6201 y otro grupo con nexos en China rastreado como UNC5221, conocido por explotar zero-days de Ivanti y vinculado previamente en informes al Tifón de Seda, aunque GTIG señala que no se considera que estos grupos sean idénticos.
Mitigación de CVE-2026-22769
La guía de remediación de Dell está clara, pero requiere seguimiento. Para la línea 6.x, Dell indica a los clientes que actualicen a 6.0.3.1 HF1 o apliquen el script de remediación del proveedor mencionado en la asesoría, y también proporciona rutas de migración/actualización para las compilaciones del paquete de servicio 5.3 afectadas.
Para fortalecer la cobertura más allá de los parches, confíe en la Plataforma SOC Prime para alcanzar el conjunto de datos de inteligencia de detección más grande del mundo, adoptar una línea de tubería de extremo a extremo que abarque desde la detección hasta la simulación mientras agiliza las operaciones de seguridad y acelera los flujos de trabajo de respuesta, reduce la sobrecarga de ingeniería y se mantiene a la vanguardia de las amenazas emergentes.
FAQ
¿Qué es CVE-2026-22769 y cómo funciona?
CVE-2026-22769 es una vulnerabilidad crítica de credenciales codificadas en Dell RecoverPoint para Máquinas Virtuales. El fallo permite que un atacante remoto no autenticado con conocimiento de la credencial codificada obtenga acceso no autorizado al sistema operativo subyacente y logre persistencia a nivel de root.
¿Cuándo se descubrió por primera vez CVE-2026-22769?
Dell publicó su asesoría el 17 de febrero de 2026, mientras que GTIG y Mandiant informan que la actividad de explotación identificada más temprana ocurrió a mediados de 2024.
¿Qué riesgos plantea CVE-2026-22769 a las organizaciones?
La explotación exitosa puede proporcionar acceso remoto al dispositivo y permitir persistencia a nivel de root, lo que puede respaldar el despliegue de malware, el acceso sigiloso a largo plazo y el avance profundo en infraestructuras de VMware y empresariales.
¿Puede CVE-2026-22769 aún afectarme en 2026?
Sí. Si RecoverPoint para Máquinas Virtuales está ejecutando una versión vulnerable anterior a 6.0.3.1 HF1, o una compilación afectada 5.3 que no ha sido actualizada según la guía de Dell, el entorno puede permanecer expuesto.
¿Cómo puedes protegerte de CVE-2026-22769?
Aplique la remediación de Dell de inmediato actualizando a 6.0.3.1 HF1 o utilizando la ruta de script de remediación del proveedor, luego confirme el cumplimiento de versiones en todos los dispositivos y superficies de gestión relacionadas.
