Selon Google Cloud Blog (Google Threat Intelligence et Mandiant), un cluster UNC6201, soupçonné d’être lié à la RPC, exploite depuis au moins mi‑2024 une vulnérabilité critique zero‑day (CVE-2026-22769, CVSS 10.0) affectant Dell RecoverPoint for Virtual Machines, déployant les malwares BRICKSTORM, SLAYSTYLE et un nouveau backdoor nommé GRIMBOLT.

  • Contexte et acteurs: L’activité, attribuée à UNC6201 (avec chevauchements observés avec UNC5221/Silk Typhoon sans équivalence confirmée), vise des appliances en périphérie. Mandiant/GTIG documentent un basculement de BRICKSTORM vers GRIMBOLT à partir de septembre 2025, suggérant une évolution de l’outillage.

  • Vulnérabilité et exploitation: La faille CVE-2026-22769 résulte de identifiants par défaut hardcodés (utilisateur admin) dans la configuration Tomcat Manager de l’appliance. En s’authentifiant, l’attaquant peut téléverser un WAR malveillant via l’endpoint /manager/text/deploy, installer la web shell SLAYSTYLE, puis exécuter des commandes en root. Dell a publié des remédiations et un avis de sécurité officiel.

  • Malware et persistance: GRIMBOLT est un backdoor de prise d’empreinte/remote shell écrit en C#, compilé Native AOT et packé UPX, réutilisant le même C2 que BRICKSTORM. La persistance de BRICKSTORM/GRIMBOLT est assurée par la modification du script convert_hosts.sh, exécuté au démarrage via rc.local.

  • Activité VMware observée: L’acteur a poursuivi des compromissions d’infrastructures VMware avec de nouvelles TTPs: création de « Ghost NICs » (ports réseau temporaires sur VMs ESXi) pour du pivot furtif vers des environnements internes et SaaS ; usage d’iptables pour de la Single Packet Authorization (SPA), incluant la détection d’une signature HEX sur le port 443, mise en liste autorisée, puis ACCEPT/REDIRECT conditionnel vers 10443 durant 300 secondes.

  • Artefacts forensiques et détections: Les journaux clés incluent: /home/kos/auditlog/fapi_cl_audit_log.log (requêtes /manager, PUT /manager/text/deploy?path=…&update=true), /var/lib/tomcat9 (WAR téléversés), /var/cache/tomcat9/Catalina (artefacts compilés), /var/log/tomcat9/ (Catalina, Localhost), et le fichier /home/kos/kbox/src/installation/distribution/convert_hosts.sh (persistance). Des règles YARA et des détections Google SecOps sont fournies.

IOC(s) principaux:

  • Réseau: wss://149.248.11.71/rest/apisess ; 149.248.11.71
  • Fichiers (extraits tels que publiés):
    • GRIMBOLT: support (SHA256: 24a11a26a2586f), out_elf_2 (SHA256: dfb37247d12351)
    • SLAYSTYLE: default_jsp.java (SHA256: 92fb4ad6dee936)
    • BRICKSTORM: N/A (SHA256: aa688682d44f0), splisten (SHA256: 2388ed7aee0b6), N/A (SHA256: 320a0b5d490069), N/A (SHA256: 90b760ed1d0dc), N/A (SHA256: 45313a6745803a)
  • YARA: G_APT_BackdoorToehold_GRIMBOLT_1 ; G_Hunting_BackdoorToehold_GRIMBOLT_1 ; G_APT_BackdoorWebshell_SLAYSTYLE_4

TTP(s) clés:

  • Exploitation d’identifiants Tomcat Manager par défaut pour déployer un WAR (SLAYSTYLE) et exécuter en root
  • Persistance via modification du script convert_hosts.sh lancé au boot (rc.local)
  • Remplacement de BRICKSTORM par GRIMBOLT (C#, Native AOT, UPX, remote shell, C2 partagé)
  • Pivot VMware: création de Ghost NICs sur ESXi ; iptables SPA avec filtrage sur 443 et redirection vers 10443 sur fenêtre de 5 minutes

Type d’article: analyse de menace détaillée et publication de recherche technique visant à documenter l’exploitation de la CVE-2026-22769, les malwares associés et les opportunités de détection.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation d’identifiants Tomcat Manager par défaut pour déployer un WAR (SLAYSTYLE) et exécuter en root’, ‘Persistance via modification du script convert_hosts.sh lancé au boot (rc.local)’, ‘Remplacement de BRICKSTORM par GRIMBOLT (C#, Native AOT, UPX, remote shell, C2 partagé)’, ‘Pivot VMware: création de Ghost NICs sur ESXi’, ‘iptables SPA avec filtrage sur 443 et redirection vers 10443 sur fenêtre de 5 minutes’]

IOC

{‘ip’: [‘149.248.11.71’], ‘domain’: [‘wss://149.248.11.71/rest/apisess’], ‘hash’: [‘24a11a26a2586f’, ‘dfb37247d12351’, ‘92fb4ad6dee936’, ‘aa688682d44f0’, ‘2388ed7aee0b6’, ‘320a0b5d490069’, ‘90b760ed1d0dc’, ‘45313a6745803a’]}

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/unc6201-exploiting-dell-recoverpoint-zero-day?hl=en