Los fallos y las vulnerabilidades de software son la puerta de entrada a unos atacantes cada vez más sofisticados. Y es que gracias al auge de la IA, cada vez son más habituales los ciberataques y las brechas de seguridad zero-day.

La siguiente en ser afectada por esta situación es Dell. Según reportan en Bleeping Computer, investigadores de Mandiant y el Grupo de Inteligencia contra Amenazas de Google (GTIG), hackers chinos habrían explotado desde 2024 una falla en sus servicios.

El fallo se habría dado en el llamado servicio Dell RecoverPoint for Virtual Machines, que sirve para realizar copias de seguridad y recuperaciones en máquinas virtuales VMWare. Una vulnerabilidad de credenciales codificada.

El fallo de Dell explotado durante un año y medio

La misma Dell ha sido la que ha publicado un aviso de seguridad advirtiendo de esta falla, ya calificada con la nomenclatura CVE-2026-22769. Las versiones afectadas de este software son las anteriores a la versión 6.0.3.1 HF1.

Dell relata en su comunicado que la vulnerabilidad de credenciales codificadas se considera crítica, "ya que un atacante remoto no autenticado con conocimiento de la credencial codificada podría explotar esta vulnerabilidad".

Las consecuencias no son algo baladí. Si esto se llegase a dar, el atacante conseguiría un acceso no autorizado al sistema operativo subyacente y la persistencia a nivel de root, tal y como explica la firma en su aviso.

RecoverPoint for Virtual Machines es una solución específicamente diseñada para entornos virtualizados o máquinas virtuales, y sirve para recuperar y proteger datos. Se focaliza en entornos VMware vSphere y Microsoft Hyper-V.

El problema radica en unas credenciales de inicio de sesión olvidadas dentro del código de la aplicación que el desarrollador seguramente utilizaría para poder iniciar sesión más rápidamente a la hora de probar su solución de software.

Lo peor de todo es que hablamos de una vulnerabilidad que ya ha sido aprovechada por hackers chinos para perpetrar ataques zero-day. Es decir, ataques basados en fallos que no han sido parcheados antes de ser solucionados.

El grupo GITG junto a Mandiant identifica al grupo como UNC6201, un "presunto clúster de amenazas PRC-nexus que ha explotado esta falla desde al menos mediados de 2024", tal y como explican en su comunicado.

Los hackers, que cuentan con el respaldo de la inteligencia oficial china, habrían estado aprovechando la vulnerabilidad para distribuir malware manteniendo un acceso persistente a los dispositivos afectados.

No solo eso. UNC6201 habría distribuido software malicioso conocido como Slaystyle, Brickstorm y puertas traseras como Grimbolt. Mandiant a su vez identificó una campaña de ataques que implicaba el cambio de Brickstorm por Grimbolt en septiembre del 2025.

Para penetrar en la infraestructura de entornos virtualizados de las víctimas, los atacantes utilizaron varias técnicas para ocultar su rastro, como la creación de interfaces de redes ocultas en servidores VMware ESXi, para moverse entre las redes de los equipos atacados.

Grimbolt, el software malicioso usado por UNC6201, es un malware escrito en C y diseñado enteramente para complicar análisis estáticos y "mejorar el rendimiento en dispositivos con recursos limitados".

Además, el grupo se habría valido de puertos de red virtuales temporales para pasar de máquinas virtuales afectadas por los atacantes a entornos internos de software como servicio (SaaS), un modelo de software basado en la nube que sirve para que proveedores alojen servicios y aplicaciones para que los clientes accedan a ellos bajo demanda.

Afortunadamente, Dell ha publicado una serie de soluciones y medidas a tomar para mitigar el problema. En su página de aviso se detallan pasos a seguir para solucionar las vulnerabilidades de RecoverPoint en varias de sus versiones.