Badan Keamanan Siber dan Infrastruktur AS (CISA) memerintahkan lembaga pemerintah untuk melakukan patch pada sistem mereka dalam waktu tiga hari terhadap kerentanan Dell dengan tingkat keparahan maksimum yang telah dieksploitasi secara aktif sejak pertengahan tahun 2024.
Menurut peneliti keamanan dari Mandiant dan Google Threat Intelligence Group (GTIG), kerentanan kredensial hardcode ini (CVE-2026-22769) di RecoverPoint Dell (solusi yang digunakan untuk pencadangan dan pemulihan mesin virtual VMware) adalah dieksploitasi oleh kelompok peretas yang diduga berasal dari Tiongkok dilacak sebagai UNC6201.
Setelah mendapatkan akses ke jaringan korban dalam serangan CVE-2026-22769, UNC6201 menyebarkan beberapa muatan malware, termasuk pintu belakang yang baru diidentifikasi bernama Grimbolt. Malware ini dibuat menggunakan teknik kompilasi yang relatif baru sehingga lebih sulit untuk dianalisis dibandingkan pendahulunya, yaitu Badai batu bata pintu belakang.
Meskipun grup tersebut menukar Brickstorm dengan Grimbolt pada September 2025, belum jelas apakah peralihan ini merupakan bagian dari peningkatan yang direncanakan atau “reaksi terhadap upaya respons insiden yang dipimpin oleh Mandiant dan mitra industri lainnya.”
“Analisis keterlibatan respons insiden mengungkapkan bahwa UNC6201, yang diduga merupakan kelompok ancaman perhubungan RRT, telah mengeksploitasi kelemahan ini setidaknya sejak pertengahan tahun 2024 untuk bergerak ke samping, mempertahankan akses yang terus-menerus, dan menyebarkan malware termasuk SLAYSTYLE, BRICKSTORM, dan pintu belakang baru yang dilacak sebagai GRIMBOLT,” kata mereka.
Para peneliti keamanan juga menemukan tumpang tindih antara UNC6201 dan kelompok spionase dunia maya yang didukung oleh negara Silk Typhoon Tiongkok (meskipun keduanya tidak dianggap identik oleh GTIG), juga dilacak sebagai UNC5221 dan dikenal karena mengeksploitasi zero-day Ivanti untuk sasaran lembaga pemerintah dengan adat Mereka bertelur Dan garis zip perangkat lunak perusak.
Silk Typhoon sebelumnya telah melanggar sistem beberapa lembaga pemerintah AS, termasuk Departemen Keuangan AS, Kantor Pengawasan Aset Luar Negeri (OFAC)Dan Komite Penanaman Modal Asing di Amerika Serikat (CFIUS).
FBI memerintahkan untuk memprioritaskan patch CVE-2026-22769
CISA sekarang ditambahkan kelemahan keamanannya Katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahui pada hari Rabu dan memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan jaringan mereka pada akhir hari Sabtu, 21 Februari, sebagaimana diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA memperingatkan pada hari Rabu.
“Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Pekan lalu, CISA juga memberi waktu tiga hari kepada badan-badan federal AS untuk menyelesaikan masalah ini mengamankan instans Dukungan Jarak Jauh BeyondTrust mereka terhadap kerentanan eksekusi kode jarak jauh yang dieksploitasi secara aktif (CVE-2026-1731).
Hacktron, yang melaporkan kerentanannya pada 31 Januari, diperingatkan pada awal Februari bahwa sekitar 11.000 instans Dukungan Jarak Jauh BeyondTrust terekspos secara online, dan sekitar 8.500 merupakan penerapan lokal yang memerlukan patching manual.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
