Pesquisadores de segurança divulgaram no início de 2026 uma zero-day crítica que afeta o Dell RecoverPoint for Virtual Machines.
O “RecoverPoint “, é solução baseada em hipervisor — usada principalmente em Data Centers corporativos que rodam sobre VMware vSphere — que oferece replicação de dados contínua, proteção e recuperação de desastres (DR) para máquinas virtuais. Ela é .
A falha foi explorada de forma ativa por um grupo ligado à China e permaneceu invisível por um período significativo antes de ser identificada.
O grupo investigado integra um cluster conhecido como UNC6201, que parece atuar em conjunto com outras operações já mapeadas no ecossistema de ameaças chinesas.
As ações dos invasores sugerem que eles foram seletivos, mirando organizações de interesse para espionagem em vez de campanhas amplas por lucro.
De acordo com as análises, há evidências de comprometimentos retroativos que datam do meio de 2024.
O tempo médio de permanência (dwell time) foi longo, frequentemente superior a um ano, com adversários se movendo silenciosa e progressivamente pela infraestrutura.
Em muitos casos os atacantes escolheram sistemas de baixa visibilidade e com proteção de endpoint limitada, o que facilitou a infiltração profunda.
Os pesquisadores também observaram uma troca de ferramentas no arsenal dos invasores: o velho backdoor conhecido como Brickstorm vem sendo substituído por um novo implante chamado Grimbolt.
O Grimbolt é descrito como mais sofisticado, dinâmico e mais difícil de detectar que o Brickstorm.
A técnica de mudar código após o deploy torna as detecções tradicionais menos eficazes.
As investigações apontam que menos de uma dezena de organizações são conhecidas como impactadas até agora, mas esse número pode ser subestimado.
Para quem usa RecoverPoint for Virtual Machines a recomendação é clara e imediata.
Atualize para a versão 6.0.3.1 HF1 do RecoverPoint for Virtual Machines o quanto antes.
Esse upgrade deve ser relativamente direto para instalações já em versões 6.0, mas a Dell publicou passos adicionais para versões mais antigas.
Importante: aplicar o patch é essencial, mas pode não ser suficiente caso a infra já esteja comprometida.
Se houver suspeita de intrusão, procedimentos de contenção e remediação mais amplos serão necessários, incluindo análise forense e possíveis rebuilds de sistemas afetados.
O impacto desta vulnerabilidade foi classificado com pontuação máxima na escala CVSS, o que reforça a urgência das correções.
Trata-se de uma falha crítica (CVSS 10.0) e exige ação imediata das equipes de segurança.
Além da atualização, recomenda-se fazer caça a sinais de comprometimento relacionados a Brickstorm e Grimbolt, revisar logs, revisar segmentação de rede e isolar sistemas de baixa visibilidade.
Rotação de credenciais, checagem de sessões ativas, e verificação de privilégios excessivos também são passos fundamentais.
Não confie apenas em assinaturas tradicionais; os comportamentos dinâmicos do Grimbolt pedem detecções baseadas em anomalias e telemetria ampla.
Algumas recomendações práticas: rodar buscas por indicadores recentes, sincronizar com feeds de threat intelligence, e considerar higienização completa de hosts suspeitos.
Para times de segurança maiores, a situação também é um bom gatilho para revisitar ferramentas de proteção endpoint e estratégias de detecção em ambientes virtualizados.
Há quem defenda avaliar defesas habilitadas por IA agente — não como bala de prata, mas como apoio para detecção adaptativa diante de ferramentas que mudam o código em produção.
Em resumo: atualize o RecoverPoint, investigue ativamente sinais de Grimbolt e trate a presença do invasor como permanência provável até prova em contrário.
Se você administra esses ambientes, trate isso como prioridade e mobilize sua equipe de resposta a incidentes agora mesmo.
