Kelompok peretas yang diduga mendapat dukungan negara Tiongkok dilaporkan telah mengeksploitasi celah keamanan kritis pada produk Dell sejak pertengahan 2024. Serangan ini memanfaatkan kerentanan zero day yang saat itu belum diketahui publik maupun pengguna.
Celah tersebut terdapat pada Dell RecoverPoint for Virtual Machines, perangkat lunak yang banyak digunakan perusahaan untuk mencadangkan dan memulihkan mesin virtual berbasis VMware. Kerentanan yang dilacak sebagai CVE-2026-22769 itu dikategorikan dengan tingkat keparahan maksimal karena melibatkan kredensial yang tertanam langsung di dalam sistem. Artinya, pihak luar yang mengetahui kredensial tersebut dapat masuk tanpa proses autentikasi normal dan memperoleh kendali hingga level tertinggi pada sistem operasi.
Dell telah mengonfirmasi bahwa versi sebelum 6.0.3.1 HF1 terdampak masalah ini. Perusahaan juga mendesak pelanggan segera melakukan pembaruan atau mengikuti langkah mitigasi yang disediakan, karena akses ilegal ini memungkinkan pelaku mempertahankan kendali secara permanen di dalam jaringan korban.
Investigasi yang dilakukan Mandiant dan Google Threat Intelligence Group mengaitkan eksploitasi ini dengan kelompok yang dilacak sebagai UNC6201. Setelah berhasil masuk, kelompok tersebut menyebarkan berbagai muatan berbahaya, termasuk backdoor baru bernama Grimbolt. Malware ini ditulis dalam bahasa C# dan menggunakan teknik kompilasi yang lebih modern sehingga lebih cepat berjalan dan lebih sulit dianalisis dibandingkan pendahulunya, Brickstorm.
Peralihan dari Brickstorm ke Grimbolt mulai terpantau pada September 2025. Belum jelas apakah perubahan ini merupakan bagian dari peningkatan strategi jangka panjang atau respons terhadap upaya penanganan insiden oleh perusahaan keamanan siber.
Yang membuat kasus ini semakin serius adalah sasaran infrastruktur virtualisasi. Penyerang diketahui menargetkan server VMware ESXi, komponen penting dalam lingkungan pusat data modern. Mereka bahkan menciptakan antarmuka jaringan tersembunyi yang disebut Ghost NIC untuk bergerak diam diam dari satu mesin virtual ke sistem lain, termasuk ke lingkungan internal dan layanan berbasis cloud. Teknik ini dinilai baru dan belum pernah terdokumentasi sebelumnya dalam investigasi serupa.
Fokus pada perangkat yang jarang dilengkapi sistem deteksi ancaman tradisional juga menjadi strategi utama. Dengan menyasar appliance dan server virtualisasi yang tidak selalu dipasang agen keamanan, pelaku dapat bertahan lebih lama tanpa terdeteksi.
Peneliti juga menemukan kemiripan antara UNC6201 dan kelompok lain bernama UNC5221, yang sebelumnya dikaitkan dengan eksploitasi celah pada produk Ivanti dan serangan terhadap lembaga pemerintah. Meski tidak dianggap identik, keterkaitan ini memperkuat dugaan adanya ekosistem peretasan yang terkoordinasi dengan dukungan negara.
Isu ini penting karena banyak organisasi mengandalkan sistem virtualisasi untuk menjalankan aplikasi penting, menyimpan data sensitif, dan memastikan kelangsungan operasional. Jika lapisan infrastruktur ini ditembus, dampaknya dapat meluas ke seluruh jaringan perusahaan, termasuk potensi pencurian data, sabotase sistem, hingga gangguan layanan dalam skala besar.
Bagi pelaku usaha dan pengelola TI, insiden ini menjadi pengingat bahwa solusi pencadangan dan virtualisasi tidak boleh dianggap sebagai zona aman. Pembaruan keamanan perlu diprioritaskan, terutama untuk sistem yang berada di inti infrastruktur. Ketertinggalan dalam menerapkan patch bisa membuka jalan bagi penyusupan jangka panjang yang sulit dideteksi.
Dengan semakin kompleksnya teknik yang digunakan, termasuk pemanfaatan kredensial tersembunyi dan manipulasi komponen jaringan virtual, serangan terhadap infrastruktur perusahaan diperkirakan akan terus berkembang. Respons cepat dan audit keamanan menyeluruh menjadi kunci untuk meminimalkan risiko yang dapat merugikan operasional maupun reputasi.