Peretas Tiongkok Eksploitasi Zero-Day Dell Sejak Pertengahan 2024
Kelompok peretas yang diduga didukung negara Tiongkok dilaporkan telah mengeksploitasi celah keamanan kritis pada produk Dell sejak pertengahan 2024. Serangan zero-day ini menargetkan solusi Dell RecoverPoint for Virtual Machines, perangkat lunak yang digunakan untuk pencadangan dan pemulihan mesin virtual VMware.
Temuan ini diungkap oleh peneliti dari Mandiant dan Google Threat Intelligence Group (GTIG), yang mengaitkan aktivitas tersebut dengan kelompok ancaman yang dilacak sebagai UNC6201.
Kerentanan Hardcoded Credential dengan Dampak Kritis
Celah yang dieksploitasi dilacak sebagai CVE-2026-22769, sebuah kerentanan hardcoded credential dengan tingkat keparahan maksimum. Kerentanan ini memengaruhi Dell RecoverPoint for Virtual Machines versi sebelum 6.0.3.1 HF1.
Menurut peringatan keamanan resmi Dell, celah ini memungkinkan penyerang jarak jauh tanpa autentikasi, yang mengetahui kredensial tertanam tersebut, untuk memperoleh akses tidak sah ke sistem operasi dasar dan mempertahankan persistensi tingkat root.
Dell merekomendasikan pelanggan untuk segera melakukan pembaruan atau menerapkan mitigasi yang telah disediakan guna mencegah eksploitasi lebih lanjut.
Penyebaran Malware Grimbolt
Setelah berhasil masuk ke jaringan korban, UNC6201 diketahui menyebarkan sejumlah payload berbahaya, termasuk backdoor baru bernama Grimbolt. Malware ini ditulis dalam bahasa C# dan dibangun menggunakan teknik kompilasi yang relatif baru, membuatnya lebih cepat dan lebih sulit dianalisis dibanding pendahulunya, Brickstorm.
Peneliti mengamati bahwa pada September 2025, kelompok tersebut mulai mengganti Brickstorm dengan Grimbolt. Namun belum jelas apakah perubahan ini merupakan peningkatan terencana atau respons terhadap upaya penanganan insiden oleh Mandiant dan mitra industri lainnya.
Menargetkan Server VMware ESXi
Selain mengeksploitasi celah Dell, pelaku juga menggunakan teknik baru untuk memperdalam akses di infrastruktur virtualisasi korban. Salah satu metode yang teridentifikasi adalah pembuatan antarmuka jaringan tersembunyi atau “Ghost NICs” pada server VMware ESXi.
Teknik ini memungkinkan peretas berpindah secara diam-diam dari mesin virtual yang telah dikompromikan ke lingkungan internal atau layanan SaaS. Menurut Mandiant, metode ini belum pernah mereka temui sebelumnya dalam investigasi lain.
Konsisten dengan kampanye Brickstorm sebelumnya, UNC6201 terus menargetkan perangkat dan appliance yang umumnya tidak dilengkapi agen endpoint detection and response (EDR), sehingga memudahkan mereka bertahan dalam jaringan korban dalam waktu lama tanpa terdeteksi.
Kaitan dengan Klaster Ancaman Lain
Peneliti menemukan adanya kemiripan antara UNC6201 dan klaster ancaman Tiongkok lain yang dikenal sebagai UNC5221. Klaster tersebut sebelumnya dikaitkan dengan eksploitasi zero-day Ivanti serta penggunaan malware kustom seperti Spawnant dan Zipline untuk menargetkan lembaga pemerintah.
UNC5221 juga pernah dihubungkan dengan kelompok ancaman Silk Typhoon, meskipun GTIG menilai kedua klaster tersebut tidak identik.
Pada laporan sebelumnya, Mandiant mendokumentasikan penggunaan Brickstorm untuk mempertahankan akses jangka panjang pada jaringan organisasi di sektor hukum dan teknologi di Amerika Serikat. Sementara itu, CrowdStrike mengaitkan serangan Brickstorm terhadap server VMware vCenter dengan kelompok yang mereka lacak sebagai Warp Panda.
Rekomendasi untuk Pelanggan Dell
Untuk mencegah eksploitasi CVE-2026-22769 yang masih berlangsung, pelanggan Dell disarankan segera mengikuti panduan mitigasi resmi dan memperbarui sistem ke versi terbaru yang telah diperbaiki.
Kasus ini kembali menyoroti pentingnya pembaruan keamanan tepat waktu, terutama pada sistem infrastruktur virtualisasi yang menjadi target bernilai tinggi bagi aktor ancaman tingkat negara.
