Cyberespionnage : un produit Dell infiltré par des espions chinois
Depuis mi-2024, des espions chinois (UNC6201) exploitent une faille "zero-day" de sévérité maximale dans la solution Dell RecoverPoint. Identifiée seulement en février 2026, cette intrusion a permis un accès "root" persistant au cœur des infrastructures de nombreuses entreprises mondiales.
Un accès "Root" offert sur un plateau d'argent
Le cœur du problème réside dans la vulnérabilité CVE-2026-22769, affichant un score de criticité maximal de 10.0. Cette faille n'est pas due à une erreur de code complexe, mais à la présence d'identifiants codés en dur (hardcoded credentials) dans le logiciel Dell RecoverPoint for Virtual Machines.
En utilisant ces mots de passe "usine" impossibles à modifier par l'utilisateur, les attaquants ont pu s'authentifier à distance sans aucun effort, obtenant immédiatement les privilèges les plus élevés (root) sur le système d'exploitation sous-jacent.
L'ombre d'UNC6201 : des experts de la persistance
L'attaque est attribuée par Google Mandiant au groupe UNC6201, un cluster d'activités lié au renseignement chinois (proche de Silk Typhoon). Ce groupe est réputé pour sa capacité à s'ancrer durablement dans les infrastructures critiques.
Durée de l'opération : L'exploitation a débuté en juillet 2024 et n'a été stoppée qu'en février 2026.
Arsenal logiciel : Les espions ont déployé une porte dérobée nommée Brickstorm, avant de passer à une version plus sophistiquée, Grimbolt, conçue pour être indétectable par les solutions de sécurité classiques.
Pourquoi Dell RecoverPoint est une cible de choix
RecoverPoint n'est pas un simple logiciel ; c'est un outil de protection et de récupération de données utilisé par les grandes entreprises et les gouvernements pour assurer la continuité de service de leurs machines virtuelles. En contrôlant cet outil, les attaquants disposaient d'un point d'observation idéal pour :
Exfiltrer des sauvegardes entières de données sensibles.
Maintenir un accès même après un redémarrage ou une mise à jour mineure.
Se déplacer latéralement vers d'autres serveurs du réseau interne.
Réponse et mesures d'urgence
Dell a publié un correctif d'urgence (version 6.0.3.1 HF1) le 17 février 2026. Cependant, la simple mise à jour ne suffit pas : les experts recommandent une recherche approfondie de compromission (hunting) car les attaquants ont eu 18 mois pour créer leurs propres accès secondaires et nettoyer leurs traces.
📰 Source : numerama.com
🤖 Cet article a été rédigé avec l'assistance de l'intelligence artificielle à partir de sources vérifiées par la rédaction. En savoir plus