Sachverhalt
Mandiant veröffentlichte am 17. Februar 2026 einen Bericht, der
eine gezielte Kampagne der APT-Gruppierung UNC6201 beschreibt. Demnach nutzt der Akteur eine kritische Zero-Day-Schwachstelle in Dell
RecoverPoint for Virtual Machines aus. Die als CVE-2026-22769 identifizierte Sicherheitslücke ermöglicht es Angreifern, sich
tiefgreifenden Zugriff auf virtualisierte Umgebungen zu verschaffen. Mandiant betont in seiner Analyse, dass die Gruppierung dabei gezielt
Infrastruktur-Komponenten ("Edge-Appliances") auswählt. Auf solchen Komponenten werden oft keine
Endpoint-Detection-and-Response-Systeme (EDR) betrieben, was die Entdeckung der Angriffe erheblich erschweren kann.
Methoden
In seinem technischen Bericht legt Mandiant detailliert dar, wie UNC6201 nach dem Erlangen des Zugriffs vorgeht. Zunächst wird die
Web-Shell SLAYSTYLE via Tomcat Manager eingeschleust. Mandiant dokumentiert daraufhin den Einsatz spezialisierter Backdoors: Während
initial die in Go geschriebene Malware BRICKSTORM genutzt wurde, identifizierten die Analysten von Mandiant in jüngerer Zeit vermehrt
die C++-basierte Backdoor GRIMBOLT. Letztere dient laut Mandiant der langfristigen, unauffälligen Persistenz.
Besondere Aufmerksamkeit widmet Mandiant einer innovativen Anti-Forensik-Technik: Dem Einsatz von „Ghost NICs“. Hierbei erstellt der Angreifer laut Mandiant temporäre virtuelle Netzwerkschnittstellen auf den ESXi-Hosts für das Lateral Movement und löscht diese nach der Exfiltration wieder. Mandiant weist darauf hin, dass dies die Rekonstruktion der Angriffswege über Netzwerk-Logs massiv erschwert. Zur Sicherung der Persistenz beobachtete Mandiant zudem die Manipulation legitimer Skripte, wie beispielsweise der Datei convert_hosts.sh, um den automatischen Start der Malware bei Systemneustarts zu erzwingen.
Basierend auf den Analysen von Mandiant und den daraus resultierenden Herstellerangaben sind folgende Systeme gefährdet: Dell RecoverPoint for Virtual Machines in Versionen vor 6.0.3.1 HF1.
Attribution
Die vorliegenden Erkenntnisse basieren primär auf den Untersuchungen von Mandiant, die UNC6201 als eine dem chinesischen Staatsapparat
nahestehende Gruppierung einstufen. Die Experten von Mandiant bewerten das Vorgehen als hochprofessionell und strategisch motiviert.
Handlungsempfehlungen
Die Cyberabwehr empfiehlt unter Berücksichtigung der von Mandiant veröffentlichten Sicherheitsmaßnahmen
folgende Schritte:
- Sicherheits-Updates: Installieren Sie unverzüglich die von Dell bereitgestellten Patches (mindestens Version 6.0.3.1 HF1), um die hartkodierten Credentials unschädlich zu machen.
- Forensische Prüfung: Untersuchen Sie Ihre Tomcat-Audit-Logs (/home/kos/auditlog/fapi_cl_audit_log.log) auf Zugriffe zum Pfad /manager, die Mandiant als Indikator für eine Kompromittierung anführt.
- Integritäts-Check: Validieren Sie die Systemskripte auf den Appliances. Mandiant empfiehlt insbesondere die Prüfung der Datei /home/kos/kbox/src/installation/distribution/convert_hosts.sh auf unautorisierte Änderungen.
- Erweiterte Überwachung: Achten Sie in Ihren Virtualisierungs-Management-Konsolen auf das kurzzeitige Auftreten neuer Netzwerkschnittstellen, um der von Mandiant beschriebenen „Ghost NIC“-Taktik zu begegnen.
- Netzwerk-Härtung: Stellen Sie sicher, dass Management-Schnittstellen von RecoverPoint-Appliances nicht aus öffentlichen Netzen erreichbar sind und in isolierten Segmenten betrieben werden.