# UNC6201 ## Descrição UNC6201 é um **cluster de espionagem com nexo chinês**, rastreado pelo Google Mandiant, que explora vulnerabilidades em appliances de armazenamento e backup corporativo para obter acesso persistente a redes de alto valor. O grupo é notável por explorar a [[cve-2026-22769|CVE-2026-22769]] (CVSS 10.0), uma vulnerabilidade de credenciais hard-coded no **Dell RecoverPoint for Virtual Machines**, para implantar web shells e backdoors sofisticados. **Também conhecido como:** UNC6201 ## Vetor de Ataque Principal O grupo explora a [[cve-2026-22769|CVE-2026-22769]], que consiste em credenciais administrativas padrão hard-coded no arquivo `/home/kos/tomcat9/tomcat-users.xml` do Dell RecoverPoint. A cadeia de ataque é: 1. **Autenticação** com credenciais hard-coded no Apache Tomcat Manager 2. **Upload** de arquivo WAR malicioso via `/manager/text/deploy` 3. **Deploy** do web shell [[slaystyle|SLAYSTYLE]] 4. **Execução** de comandos com privilégio root 5. **Instalação** do backdoor [[brickstorm|BRICKSTORM]] (depois substituído por [[brickstorm|GRIMBOLT]]) 6. **Persistência** via modificação de scripts de boot (`rc.local`, `convert_hosts.sh`) ## Campanhas ### Dell RecoverPoint Exploitation (2024–2026) Exploração confirmada desde meados de 2024. A [[cve-2026-22769|CVE-2026-22769]] foi adicionada ao catálogo [[sources|CISA]] KEV, indicando exploração ativa. O UNC6201 utiliza a vulnerabilidade para acessar infraestrutura de backup e virtualização, pivoteando para ambientes [[VMware]] via técnicas avançadas. ## Técnicas Utilizadas ### Acesso Inicial - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - Exploração de credenciais hard-coded no Dell RecoverPoint - [[t1078-valid-accounts|T1078 - Valid Accounts]] - Uso de credenciais padrão para acesso ao Tomcat Manager ### Execução - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - Execução de comandos via web shell [[slaystyle|SLAYSTYLE]] ### Persistência - [[t1543-create-or-modify-system-process|T1543 - Creaté or Modify System Process]] - Modificação de serviços do sistema - [[t1547-boot-or-logon-autostart-execution|T1547 - Boot or Logon Autostart Execution]] - Alteração do `rc.local` para execução de backdoors no boot ### Escalação de Privilégios - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - Obtenção de acesso root via vulnerabilidade ### Evasão de Defesas - [[t1564-hide-artifacts|T1564 - Hide Artifacts]] - Uso de "Ghost NICs" (interfaces de rede virtuais ocultas) - [[t1562-impair-defenses|T1562 - Impair Defenses]] - Single Packet Authorization (SPA) via iptables para ocultar comunicação ### Movimento Lateral - [[t1021-remote-services|T1021 - Remote Services]] - Pivoteamento para infraestrutura VMware usando Ghost NICs - Uso de interfaces de rede virtuais ocultas para alcançar segmentos de rede isolados ### Comando e Controle - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - Transferência de ferramentas adicionais para o ambiente comprometido - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - Comúnicação C2 via protocolos de aplicação ## Software Utilizado | Malware | Tipo | Descrição | |---------|------|-----------| | [[slaystyle\|SLAYSTYLE]] | Web shell | Implantado via arquivo WAR malicioso para execução de comandos | | [[brickstorm\|BRICKSTORM]] | Backdoor | C2, persistência e movimento lateral; usado desde meados de 2024 | | [[brickstorm\|GRIMBOLT]] | Backdoor | Substituto do BRICKSTORM desde setembro de 2025; implante primário atual | ## Conexões com Outros Grupos O UNC6201 possui sobreposições técnicas com o **UNC5221** (grupo que explora vulnerabilidades Ivanti), mas é rastreado como um cluster distinto. O uso do [[brickstorm|BRICKSTORM]] também foi associado ao **Warp Panda / Storm-2416**. ## Relevância para o Brasil e LATAM UNC6201 é extremamente relevante para Brasil. Dell RecoverPoint é amplamente utilizado por data centers, operadoras de cloud e empresas de backup em LATAM. A vulnerabilidade CVE-2026-22769 (credenciais hard-coded) afeta TODA instância RecoverPoint globalmente até patching. Uma única instância comprometida = acesso completo a TODAS as cópias de backup de clientes gerenciados. Backdoors (BRICKSTORM, GRIMBOLT) implantados em appliances de backup com a técnica "Ghost NIC" podem operar invisíveis por meses ou anos. Nível de acesso oferecido (root em appliance de backup) permite comprometer ambientes VMware inteiros sem deixar rastreamento. Risco exponencial se o backup em si é cópia "confiável" e restauração acontece direto para ambiente produção compromisso. ## Impacto e Relevância > [!danger] Criticidade > A exploração de appliances de backup e recuperação como o Dell RecoverPoint representa um risco extremo: estes sistemas contêm cópias completas da infraestrutura virtualizada e frequentemente operam em segmentos de rede com acesso privilegiado. O grupo permanece ativo em ambientes não patcheados. IOCs e regras YARA estão disponíveis para detecção. ## Indicadores e Mitigação - Aplicar patch Dell RecoverPoint 6.0.3.1 HF1 ou superior - Auditar credenciais padrão em appliances de storage/backup - Monitorar implantações de WAR no Tomcat Manager - Caçar Ghost NICs e regras iptables anômalas --- *Fontes: [Google Cloud Blog - Mandiant](https://cloud.google.com/blog/topics/threat-intelligence/unc6201-exploiting-dell-recoverpoint-zero-day), [The Hacker News](https://thehackernews.com/2026/02/dell-recoverpoint-for-vms-zero-day-cve.html), [SecurityWeek](https://www.securityweek.com/dell-recoverpoint-zero-day-exploited-by-chinese-cyberespionage-group/), [Help Net Security](https://www.helpnetsecurity.com/2026/02/18/exploited-dell-zero-day-CVE-2026-22769-brickstorm-grimbolt/)*