Une attaque zero-day n’est jamais un moment plaisant à communiquer pour un fabricant. Encore moins quand elle a été exploitée sous ses yeux pendant de très longs mois.
C’est la situation dans laquelle se retrouve Dell après la publication, le 17 février 2026, par Mandiant et le GTIG d’un rapport détaillant une campagne d’espionnage cyber de longue haleine, attribuée à un groupe de hackers chinois.
Encore plus problématique : les espions informatiques auraient exploité une faille critique (notée d’un score de 10,0, soit le maximum) dans un produit Dell utilisé précisément par de nombreuses grandes entreprises pour protéger leurs données.
Le produit en question ? Dell RecoverPoint for Virtual Machines, un outil de sauvegarde et de restauration conçu pour les environnements virtuels. En clair, il permet aux entreprises d’assurer la continuité de leur activité en cas d’incident majeur, en répliquant les données hébergées sur des machines virtuelles VMware.
UNC6201, une menace sophistiquée
Concrètement, les chercheurs ont découvert dans certaines versions de ce logiciel un mot de passe codé en dur directement dans le code source par les développeurs.
Une erreur exploitée depuis mi-2024 par le groupe de hackers UNC6201. En accédant à l’interface d’administration web (le serveur Tomcat intégré au produit Dell), les pirates pouvaient se connecter comme administrateurs, glisser des fichiers malveillants, puis exécuter des commandes avec les privilèges les plus élevés.
Une fois à l’intérieur, plusieurs malwares ont été déployés. Certains étaient déjà identifiés comme Slaystyle ou Brickstorm, d’autres relèvent de la nouveauté comme le cheval de Troie nommé Grimbolt. Un arsenal permettant aux cyberespions d’espionner les réseaux et de maintenir un accès discret sur la durée.
Les chercheurs notent aussi la création de « fausses cartes réseau »(des « Ghost NICs ») sur des serveurs VMware ESXi, pour se déplacer furtivement sans être détectés par les outils de sécurité classiques.
À cela s’ajoute la modification de scripts légitimes pour assurer la persistance de l’infiltration. Un bout de code ajouté au fichier de démarrage, garantissait que le malware se relançait à chaque redémarrage du serveur.
Une mise à jour est disponible
Dell a publié une mise à jour corrective et recommande à tous les clients d’appliquer les correctifs sans délai. La faille concerne les versions antérieures à RecoverPoint for Virtual Machines 6.0.3.1 HF1.
Selon l’entreprise américaine, les cas d’exploitation active restent, pour l’heure, «limités».
Enfin, dans leur rapport de sécurité, les chercheurs notent certaines similarités entre UNC6201 et un autre groupe connu sous le nom deSilk Typhoon, déjà lié à des opérations d’espionnage chinoises. Cependant, les équipes de Google et Mandiant ont décidé de ne pas fusionner officiellement ces deux entités, faute de preuves formelles.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !