Dell RecoverPoint: Chinesische Hacker nutzen kritische Lücke seit 18 Monaten

Eine mit China in Verbindung stehende Hackergruppe nutzt seit Mitte 2024 eine kritische Sicherheitslücke in Dells Datensicherungssoftware aus. Die Angreifer erlangten so root-Zugriff auf Systeme und blieben monatelang unentdeckt – ein Alarmsignal für Unternehmen weltweit.

Die als CVE-2026-22769 eingestufte Schwachstelle in Dell RecoverPoint for Virtual Machines erreicht die maximale Gefahrenstufe 10.0. Sie ermöglichte es der als UNC6201 identifizierten Gruppe, unauthentifiziert und aus der Ferne vollständige Kontrolle über betroffene Systeme zu übernehmen. Dell hat inzwischen ein kritisches Update veröffentlicht und drängt Kunden zur sofortigen Installation. Auch die US-Cybersicherheitsbehörde CISA hat die Lücke als aktiv ausgenutzt eingestuft und fordert Bundesbehörden zur Patchnutzung bis zum 21. Februar 2026 auf.

Geheime Angriffskampagne aufgedeckt

Die Spionageaktivitäten kamen durch Untersuchungen von Mandiant ans Licht. Die Forscher entdeckten kompromittierte Dell-RecoverPoint-Geräte, die mit bekannten Kommando-Servern kommunizierten. Der Angriffsweg war simpel, aber verheerend: Die Angreifer nutzten fest eingebaute Admin-Zugangsdaten für eine Komponente der Software, um eine schädliche Webanwendung zu installieren. Diese sogenannte SLAYSTYLE-Webshell gewährte ihnen dann uneingeschränkte Befehlsausführung.

„Die Ausnutzung läuft nach unseren Erkenntnissen seit Mitte 2024“, so die Analysten. Das bedeutet: Die Gruppe operierte etwa 18 Monate lang unentdeckt in den Netzwerken der Opfer. Ein beunruhigender Beleg für die Tarnfähigkeiten moderner Staatstrojaner.

Im Netzwerk: Von BRICKSTORM zu GRIMBOLT

Einmal im System, legte UNC6201 ein ganzes Arsenal an Schadsoftware an. Zunächst setzte die Gruppe auf den bekannten Backdoor BRICKSTORM, der bereits mit chinesischen Spionageangriffen auf US-Kritische Infrastruktur in Verbindung gebracht wurde.

Doch die Taktik entwickelte sich weiter. Ab September 2025 ersetzten die Hacker BRICKSTORM durch einen neuen, ausgeklügelteren Backdoor namens GRIMBOLT. Dieses in C## geschriebene Programm nutzt eine spezielle Kompilierungstechnik, die die Analyse und Erkennung durch Sicherheitstools erheblich erschwert.

Besonders trickreich: Die Angreifer schufen sogenannte „Ghost NICs“ – temporäre, versteckte Netzwerkanschlüsse auf virtuellen Maschinen. Über diese konnten sie sich unbemerkt im gesamten VMware-Netzwerk bewegen und sogar auf Cloud-Systeme zugreifen. Eine Methode, die klassische Perimeter-Verteidigung umgeht.

Warum Backup-Systeme so attraktiv sind

Der Angriff auf eine Datensicherungslösung wie RecoverPoint ist strategisch klug. Diese Systeme haben nicht nur Zugriff auf die wertvollsten Daten eines Unternehmens, sondern könnten im Ernstfall auch Wiederherstellungsprozesse nach einem folgenschweren Angriff sabotieren. Ein kompromittiertes Backup ist doppelt fatal.

Die lange unentdeckte Verweildauer der Hacker unterstreicht ein grundlegendes Problem: Viele spezialisierte Netzwerkgeräte und Appliances unterstützen keine standardmäßigen Endpoint-Detection-Lösungen (EDR). Sie bleiben damit oft blinde Flecken in der Sicherheitsüberwachung.

Dell betont in seiner Sicherheitswarnung, dass die betroffenen RecoverPoint-Appliances nur in vertrauenswürdigen, internen Netzwerken betrieben und keinesfalls dem öffentlichen Internet ausgesetzt werden sollten. Das Patch-Update auf Version 6.0.3.1 HF1 sollte umgehend installiert werden.

Die Lehren aus dem Langzeit-Angriff

Sicherheitsexperten sehen Parallelen zwischen UNC6201 und anderen chinesischen Hackergruppen wie UNC5221 (Silk Typhoon). Das Muster ist klar: Staatlich unterstützte Angreifer zielen zunehmend auf Virtualisierungs- und Edge-Technologien als Einfallstor in Unternehmensnetzwerke.

Was bedeutet das für deutsche Unternehmen? Der Vorfall ist ein Weckruf für drei kritische Maßnahmen:
1. Sofortiges Patchen aller betroffenen Dell-RecoverPoint-Systeme.
2. Proaktive Suche nach Kompromittierungsindikatoren (IOCs) der Schadsoftware BRICKSTORM und GRIMBOLT in den eigenen Netzen.
3. Überprüfung der Sicherheitsarchitektur, insbesondere bei speziellen Appliances, und strikte Netzwerksegmentierung.

Unternehmen sollten ihre Abwehr gegen gezielte Angriffe jetzt prüfen – ein kostenloser Praxis-Report erklärt, welche Sofortmaßnahmen helfen, IOCs zu finden, Backup- und Virtualisierungsinfrastruktur zu härten und Erkennungs-Lücken zu schließen. Der Leitfaden richtet sich an IT-Verantwortliche und bietet konkrete Checklisten für den schnellen Einsatz. Kostenloses Cyber-Security-E-Book herunterladen

Die Ausnutzung einer Zero-Day-Lücke über anderthalb Jahre zeigt, mit welcher Geduld und welchen Ressourcen staatliche Akteure vorgehen. In einer Zeit, in der Daten der wertvollste Rohstoff sind, rücken Backup- und Recovery-Systeme unweigerlich ins Visier der Cyber-Spionage. Die Frage ist nicht mehr, ob sie angegriffen werden, sondern wann – und ob die Abwehr dann bereit ist.