Depuis des mois, des cybercriminels chinois, sous les ordres de Pékin, exploitent une faille critique d’un logiciel Dell pour mener des opérations d’espionnage à grande échelle. Débusquée par Mandiant et Google Threat Intelligence Group, la cyberattaque est passée inaperçue pendant 18 mois…
Depuis mi‑2024, des hackers chinois exploitent une vulnérabilité identifiée dans un logiciel Dell pour orchestrer des cyberattaques. La campagne a été récemment débusquée par les chercheurs en sécurité de Mandiant et du Google Threat Intelligence Group (GTIG). Selon les experts, les pirates sont mandatés par la Chine.
À lire aussi : Cyberattaques chinoises et Gemini – Google s’attend à un « coup dur »
Une faille critique d’un logiciel Dell
Sur ordre de Pékin, les cybercriminels, connus sous le nom de code UNC6201, tirent parti d’une faille dans Dell RecoverPoint for Virtual Machines, un logiciel de sauvegarde et de reprise après incident spécialisé pour les machines virtuelles VMware. L’opération vise surtout les serveurs spécialisés qui gèrent les sauvegardes des machines virtuelles VMware dans une entreprise.
Comme l’indique Dell sur son site web, la faille, qui est considérée comme critique, est une « vulnérabilité d’identification codée en dur ». Concrètement, un pirate à distance peut se servir d’un mot de passe préinstallé dans le logiciel pour contourner l’authentification. Il s’agit en fait d’un mot de passe administrateur préconfiguré au sein d’un composant Apache Tomcat utilisé par le logiciel RecoverPoint.
En utilisant ce mot de passe, un attaquant peut prendre le contrôle complet de la machine Dell et y rester durablement, avec les droits les plus élevés possibles sur le système d’exploitation. Sans surprise, « Dell recommande à ses clients de mettre à niveau leur système ou d’appliquer l’une des solutions correctives dès que possible ».
À lire aussi : Des cyberattaques chinoises touchent « des dizaines de pays », alertent les États-Unis
Une porte dérobée
Après avoir exploité cette vulnérabilité pour pénétrer dans le système, les hackers chinois déploient plusieurs malwares, comme la porte dérobée Brickstorm. Entre le printemps 2024 et 2025, le groupe passe progressivement de Brickstorm à une autre porte dérobée plus récente et sophistiquée, Grimbolt. Ce virus est programmé pour passer sous le radar des solutions de sécurité. Les pirates vont alors se déplacer dans l’infrastructure par le biais des environnements VMware. Le but des hackers, c’est évidemment de récolter des informations sensibles sur les entreprises piratées.
Dell n’a mis le correctif à disposition qu’en février 2026. La vulnérabilité a donc été exploitée pendant au moins 18 mois avant que les chercheurs ne la débusquent. Les équipes du GTIG et de Mandiant indiquent que le groupe a pu demeurer caché dans certains réseaux d’entreprises durant plus de 400 jours. Selon les investigations de Dell, moins d’une dizaine d’organisations ont été compromises à l’aide de la faille. Notez que le gang reste probablement actif sur les machines toujours vulnérables. Il est donc essentiel d’installer les mises à jour déployées par Dell sur les appareils concernés.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.