Expertos en ciberseguridad han detectado una vulnerabilidad crítica que permite a atacantes tomar el control total de servidores Dell. Este fallo de seguridad, aprovechado activamente por grupos de espionaje vinculados a China, pone en riesgo infraestructuras virtuales y entornos corporativos globales.
La brecha se originó en una herramienta de copia de seguridad para máquinas virtuales basada en VMware. El error fundamental reside en la inclusión de credenciales codificadas de forma rígida, lo que facilita que actores malintencionados accedan de forma remota sin necesidad de autenticación previa.
El peligro de la vulnerabilidad CVE-2026-22769 en sistemas Dell
El equipo de Google Threat Intelligence y Mandiant identificó este fallo como CVE-2026-22769, una debilidad que otorga privilegios de root permanentes. Al conocer las contraseñas grabadas en el código, los hackers pueden infiltrarse en el sistema operativo subyacente de las soluciones de recuperación de datos.
Un atacante no autenticado, conociendo las credenciales almacenadas, puede acceder remotamente al sistema operativo subyacente y establecer privilegios de root de forma permanente.
Tras lograr el acceso inicial, el grupo identificado como UNC6201 despliega un arsenal de malware sofisticado para mantener el control. Entre las herramientas detectadas destaca Grimbolt, una puerta trasera escrita en C# diseñada específicamente para ser más rápida y difícil de analizar que sus versiones anteriores.
Estrategias avanzadas y el uso de NIC fantasma
Los atacantes no se limitan a entrar en el sistema; utilizan técnicas de persistencia sumamente ingeniosas. Una de las más preocupantes es la instalación de interfaces de red virtuales ocultas o «NIC fantasma» en servidores con VMware ESXi, permitiendo saltar entre nubes y redes internas.
Este método de movimiento lateral facilita que los espías se desplacen entre máquinas virtuales comprometidas sin ser detectados por las herramientas de seguridad tradicionales. Al apuntar a sistemas que carecen de soluciones EDR (Endpoint Detection and Response), los hackers logran operar en las sombras durante meses.
Vínculos con grupos estatales como Silk Typhoon
Las investigaciones conectan estas operaciones con el grupo chino UNC5221, famoso por explotar vulnerabilidades de día cero en proveedores como Ivanti. Este actor de amenazas, también conocido bajo el alias de Silk Typhoon, demuestra una capacidad técnica superior para comprometer infraestructuras críticas.
Otras firmas de seguridad, como CrowdStrike, siguen estos ataques bajo el nombre de Warp Panda. La sofisticación del malware Grimbolt, que reemplazó al antiguo Brickstorm en septiembre de 2025, sugiere que los atacantes están actualizando constantemente sus herramientas para evadir las contramedidas de defensa.
Actualizaciones urgentes para proteger la infraestructura
Dell ha confirmado que el problema afecta a todas las versiones anteriores a la 6.0.3.1 HF1. La recomendación para los administradores de sistemas es aplicar los parches de seguridad de manera inmediata para cerrar la puerta trasera y revocar cualquier acceso no autorizado detectado.
Ignorar estas actualizaciones deja la red expuesta a un espionaje persistente que puede derivar en el robo de datos sensibles. La ciberseguridad moderna exige una vigilancia constante, especialmente cuando los ataques de día cero son ejecutados por grupos con respaldo estatal y recursos prácticamente ilimitados.