脅威インテリジェンス

BRICKSTORM から GRIMBOLT へ: UNC6201 が Dell RecoverPoint for Virtual Machines のゼロデイ脆弱性を悪用

2026年3月5日

Mandiant

Google Threat Intelligence Group

Mandiant Services

Stop attacks, reduce risk, and advance your security.

Contact Mandiant

※この投稿は米国時間 2026 年 2 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。

執筆者: Peter Ukhanov、Daniel Sislo、Nick Harbour、John Scarbrough、Fernando Tomlinson, Jr.、Rich Reece

はじめに

Mandiant と Google Threat Intelligence Group（GTIG）は、Dell RecoverPoint for Virtual Machines の高リスク脆弱性（CVE-2026-22769 として追跡、CVSSv3.1 スコア 10.0）のゼロデイ攻撃を確認しました。インシデント対応活動での分析により、中国の支援が背後にあると疑われる脅威クラスタの UNC6201 が、少なくとも 2024 年半ばからこの脆弱性を悪用して、ラテラルムーブメント、永続的なアクセスの維持、マルウェア（SLAYSTYLE、BRICKSTORM、および GRIMBOLT として追跡されている新たなバックドアなど）のデプロイを行っていることが明らかになりました。これらのインシデントの初期アクセスベクトルは確認されていませんが、UNC6201 はエッジアプライアンス（VPN コンセントレータなど）を初期アクセスのターゲットにすることが知られています。UNC6201 と UNC5221 には顕著な共通点が見られます。UNC5221 は Silk Typhoon として公に報告されている脅威アクターと同義的に使われていますが、現時点で GTIG はこれら 2 つのクラスタが同じであるとは考えていません。

このレポートでは、BRICKSTORM のエスピオナージ（サイバースパイ）活動に関する以前の GTIG の調査を基に、CVE-2026-22769 の悪用と GRIMBOLT マルウェアの機能について技術的な詳細を解説します。2025 年 9 月、Mandiant は古い BRICKSTORM バイナリを GRIMBOLT に置き換えるキャンペーンを特定しました。GRIMBOLT は、攻撃手法の転換を示しています。この新たに特定されたマルウェアは、C# で記述され、ネイティブの事前（AOT）コンパイルを使用してコンパイルされています。また、静的分析を複雑化し、リソースが限られたアプライアンスでのパフォーマンスを向上させるように設計されています。

Mandiant は、Dell アプライアンスの悪用以外にも、脅威アクターが VMware 仮想インフラストラクチャに侵入するために、ステルスネットワークピボッティング用の「ゴースト NIC」の作成やシングルパケット認証（SPA）用の iptables の使用など、新たな戦術を採用していることを確認しました。

Dell は CVE-2026-22769 の修復をリリースしていますので、公式のセキュリティアドバイザリのガイダンスに沿って対応することを強くおすすめします。この投稿では、実用的なセキュリティ強化ガイダンス、検出機会、UNC6201 の戦術、手法、手順（TTP）の技術分析についてご説明します。

GRIMBOLT

侵害された Dell RecoverPoint for Virtual Machines の分析中、Mandiant は BRICKSTORM バイナリの存在と、2025 年 9 月にこれらのバイナリが GRIMBOLT に置き換えられたことを発見しました。GRIMBOLT は、C# で記述された初期侵入の足がかりとなるバックドアで、ネイティブの事前（AOT）コンパイルを使用してコンパイルされ、UPX で圧縮されています。リモートシェル機能を備えており、以前にデプロイされた BRICKSTORM ペイロードと同じコマンド＆コントロール（C2）を使用します。脅威アクターによる BRICKSTORM から GRIMBOLT への置き換えが、事前に計画されたライフサイクルのイテレーションの一環なのか、Mandiant や他の業界パートナーが主導するインシデント対応に反応したものなのかはわかっていません。ランタイム時にジャストインタイム（JIT）コンパイルを使用する従来の .NET ソフトウェアとは異なり、2022 年に .NET に導入された Native AOT コンパイルのバイナリは、コンパイル中にマシンネイティブコードに直接変換されます。この手法では、リソースが限られたアプライアンスでのソフトウェアのパフォーマンスが向上し、必要なライブラリがすでにファイル内に存在することが確約されます。また、通常は C# サンプルに関連付けられている共通中間言語（CIL）メタデータが削除されるため、静的分析が複雑になります。

UNC6201 は、convert_hosts.sh という名前の正規のシェルスクリプトを改変してバックドアへのパスを組み込むことで、Dell RecoverPoint for Virtual Machines での BRICKSTORM と GRIMBOLT の永続性を確立しました。このシェルスクリプトは、アプライアンスの起動時に rc.local を介して実行されます。

CVE-2026-22769

Mandiant は、 BRICKSTORM および GRIMBOLT バックドアに関連するアクティブな C2 サーバーとの通信が確認された被害組織環境で複数の Dell RecoverPoint for Virtual Machines を調査している際に、CVE-2026-22769 を発見しました。アプライアンスの分析中には、侵害前にユーザー名 admin を使用してアプライアンスに複数のウェブリクエストが送信されていたことが、アナリストにより確認されました。これらのリクエストは、Dell RecoverPoint ソフトウェアのさまざまなコンポーネントをデプロイするために使われる、インストール済みの Apache Tomcat Manager に転送されており、SLAYSTYLE ウェブシェルが含まれた悪意のある WAR ファイルのデプロイを招きました。

Tomcat Manager に属するさまざまな構成ファイルを分析した結果、/home/kos/tomcat9/tomcat-users.xml に admin ユーザーのデフォルトの認証情報がハードコードされていることがわかりました。脅威アクターはこれらの認証情報を使用して Dell RecoverPoint Tomcat Manager に対する認証を行い、/manager/text/deploy エンドポイントを使用して悪意のある WAR ファイルをアップロードし、アプライアンス上で root としてコマンドを実行することが可能でした。

この脆弱性を悪用した活動は、2024 年半ばに初めて確認されました。

新たに確認された VMware に対する活動

最近の調査の過程において、Mandiant は、以前 Mandiant、CrowdStrike、CISA が報告したように、脅威アクターによる VMware 仮想インフラストラクチャの侵害が継続していることを確認しました。さらに、これまで報告されていなかった新たな TTP もいくつか発見しました。

ゴースト NIC

Mandiant は、脅威アクターが ESXi サーバー上で稼働している既存の仮想マシンに新しい一時ネットワークポートを作成していることを発見しました。脅威アクターはこれらのネットワークポートを悪用して、被害を受けた組織が使用するさまざまな内部インフラストラクチャと Software as a Service（SaaS）インフラストラクチャに侵入しました。

iptables のプロキシ処理

Mandiant は、侵害された vCenter アプライアンスを分析すると同時に、脅威アクターがデプロイ済みの SLAYSTYLE ウェブシェルを使用して実行した Systemd ジャーナルから、複数のコマンドを復元しました。これらの iptables コマンドはシングルパケット認証に使用され、以下のような内容で構成されていました。

特定の 16 進文字列についてポート 443 の受信トラフィックをモニタリングする
検出されたトラフィックの送信元 IP をリストに追加する。IP がリストに登録済みで接続先がポート 10443 の場合は、接続を承認する
最初に承認されたトラフィックがポート 10443 に届いたら、それ以降のトラフィックを自動的にリダイレクトする
次の 300 秒間（5 分間）、IP が承認済みリストに登録されている場合は、ポート 443 へのトラフィックをポート 10443 に気づかれずにリダイレクトする

iptables -I INPUT -i eth0 -p tcp --dport 443 -m string --hex-string <HEX_STRING>
iptables -A port_filter -i eth0 -p tcp --dport 10443 --syn -m recent --rcheck --name ipt -j ACCEPT
iptables -t nat -N IPT
iptables -t nat -A IPT -p tcp -j REDIRECT --to-ports 10443
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 --syn -m recent --rcheck --name ipt --seconds 300 -j IPT

修復

以下の調査ガイドは、防御側組織の担当者が Dell RecoverPoint for Virtual Machines を分析するのに役立ちます。

Dell RecoverPoint ディスクイメージのフォレンジック分析

以下のアーティファクトは、Dell RecoverPoint for Virtual Machines のフルディスクイメージ分析を実施するインシデント対応担当者にとって、価値の高い痕跡（フォレンジックアーティファクト）となります。

Tomcat Manager のウェブログは、/home/kos/auditlog/fapi_cl_audit_log.log に保存されます。/manager へのリクエストのインスタンスがログファイルにないか確認してください。そのようなリクエストはすべて不審なものとみなす必要があります。

PUT /manager/text/deploy?path=/<MAL_PATH>&update=true のリクエストは、悪意のあるものである可能性があります。MAL_PATH は、悪意のある可能性のある WAR ファイルがアップロードされたパスになります。

アップロードされた WAR ファイルは通常、/var/lib/tomcat9 に保存されます。
アップロードされた WAR ファイルのコンパイル済みアーティファクトは /var/cache/tomcat9/Catalina にあります。
Tomcat アプリケーションのログは /var/log/tomcat9/ にあります。

Catalina - org.apache.catalina.startup.HostConfig.deployWAR と org.apache.catalina.startup.HostConfig.deployWAR イベントを調べます。
localhost - WAR のデプロイに関連するその他のイベントと、悪意のある WAR ファイルや埋め込みファイルによって生成された例外が含まれています。

Dell RecoverPoint for Virtual Machines 上の BRICKSTORM と GRIMBOLT のバックドアの永続性は、/home/kos/kbox/src/installation/distribution/convert_hosts.sh を改変してバックドアへのパスを組み込むことで確立されました。

セキュリティ侵害インジケーター（IoC）

このブログ投稿で概要を説明した活動をコミュニティ全体で捕捉および特定できるように、登録ユーザー向けに IOC を無料の GTI コレクションに加えました。

ファイルインジケーター

ファミリー	ファイル名	SHA256
GRIMBOLT	support	`24a11a26a2586f4fba7bfe89df2e21a0809ad85069e442da98c37c4add369a0c`
GRIMBOLT	out_elf_2	`dfb37247d12351ef9708cb6631ce2d7017897503657c6b882a711c0da8a9a591`
SLAYSTYLE	default_jsp.java	`92fb4ad6dee9362d0596fda7bbcfe1ba353f812ea801d1870e37bfc6376e624a`
BRICKSTORM	なし	`aa688682d44f0c6b0ed7f30b981a609100107f2d414a3a6e5808671b112d1878`
BRICKSTORM	splisten	`2388ed7aee0b6b392778e8f9e98871c06499f476c9e7eae6ca0916f827fe65df`
BRICKSTORM	なし	`320a0b5d4900697e125cebb5ff03dee7368f8f087db1c1570b0b62f5a986d759`
BRICKSTORM	なし	`90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035`
BRICKSTORM	なし	`45313a6745803a7f57ff35f5397fdf117eaec008a76417e6e2ac8a6280f7d830`

ネットワークインジケーター

ファミリー	インジケーター	タイプ
GRIMBOLT	`wss://149.248.11.71/rest/apisession`	C2 エンドポイント
GRIMBOLT	`149.248.11.71`	C2 IP

YARA ルール

G_APT_BackdoorToehold_GRIMBOLT_1

rule G_APT_BackdoorToehold_GRIMBOLT_1
{
  meta:
    author = "Google Threat Intelligence Group (GTIG)"
  strings:
    $s1 = { 40 00 00 00 41 18 00 00 00 4B 21 20 C2 2C 08 23 02 }
    $s2 = { B3 C3 BB 41 0D ?? ?? ?? 00 81 02 0C ?? ?? ?? 00 }
    $s3 = { 39 08 01 49 30 A0 52 30 00 00 00 DB 40 09 00 02 00 80 65 BC 98 }
    $s4 = { 2F 00 72 00 6F 00 75 00 74 00 65 79 23 E8 03 0E 00 00 00 2F 00 70 00 72 00 6F 00 63 00 2F 00 73 00 65 00 6C 00 66 00 2F 00 65 00 78 00 65 }
  condition:
    (uint32(0) == 0x464c457f) //linux
    and all of ($s*)
}

G_Hunting_BackdoorToehold_GRIMBOLT_1

rule G_Hunting_BackdoorToehold_GRIMBOLT_1
{
    meta:
        author = "Google Threat Intelligence Group (GTIG)"

    strings:
        $s1 = "[!] Error : Plexor is nul" ascii wide
        $s2 = "port must within 0~6553" ascii wide
        $s3 = "[*] Disposing.." ascii wide
        $s4 = "[!] Connection error. Kill Pty" ascii wide
        $s5 = "[!] Unkown message type" ascii wide
        $s6 = "[!] Bad dat" ascii wide
    condition:
        (  
            (uint16(0) == 0x5a4d and uint32(uint32(0x3C)) == 0x00004550) or
            uint32(0) == 0x464c457f or
            uint32(0) == 0xfeedface or
            uint32(0) == 0xcefaedfe or
            uint32(0) == 0xfeedfacf or
            uint32(0) == 0xcffaedfe or
            uint32(0) == 0xcafebabe or
            uint32(0) == 0xbebafeca or
            uint32(0) == 0xcafebabf or
            uint32(0) == 0xbfbafeca
        ) and any of them
}

G_APT_BackdoorWebshell_SLAYSTYLE_4

rule G_APT_BackdoorWebshell_SLAYSTYLE_4
{
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$str1 = "<%@page import=\"java.io" ascii wide
		$str2 = "Base64.getDecoder().decode(c.substring(1)" ascii wide
		$str3 = "{\"/bin/sh\",\"-c\"" ascii wide
		$str4 = "Runtime.getRuntime().exec(" ascii wide
		$str5 = "ByteArrayOutputStream();" ascii wide
		$str6 = ".printStackTrace(" ascii wide
	condition:
		$str1 at 0 and all of them
}

Google Security Operations（SecOps）

Google Security Operations（SecOps）のお客様は、「Mandiant Frontline Threats」と「Mandiant Hunting Rules」の各ルールパックで、これらの幅広いカテゴリのルールやその他のルールにアクセスできます。このブログ投稿で取り上げた活動は、Google SecOps において以下のルール名で検出されています。

Web Archive File Write To Tomcat Directory（Tomcat ディレクトリへのウェブアーカイブファイルの書き込み）
Remote Application Deployment via Tomcat Manager（Tomcat Manager 経由でのリモートアプリケーションのデプロイ）
Suspicious File Write To Tomcat Cache Directory（Tomcat キャッシュディレクトリへの不審なファイルの書き込み）
Kbox Distribution Script Modification（Kbox 配布スクリプトの改変）
Multiple DNS-over-HTTPS Services Queried（複数の DNS-over-HTTPS サービスに対するクエリ）
Unknown Endpoint Generating DNS-over-HTTPS and Web Application Development Services Communication（DNS-over-HTTPS とウェブアプリケーション開発サービス通信を生成する不明なエンドポイント）
Unknown Endpoint Generating Google DNS-over-HTTPS and Cloudflare Hosted IP Communication（Google DNS-over-HTTPS と Cloudflare ホスト型 IP 通信を生成する不明なエンドポイント）
Unknown Endpoint Generating Google DNS-over-HTTPS and Amazon Hosted IP Communication（Google DNS-over-HTTPS と Amazon ホスト型 IP 通信を生成する不明なエンドポイント）

謝辞

この脅威に対する Dell のご協力に感謝いたします。今回の分析は、Google Threat Intelligence Group、Mandiant Consulting、FLARE の皆様の協力がなければ実現しえませんでした。特に、GTIG Research and Discovery（RAD）の Jakub Jozwiak 氏と Allan Sepillo 氏に感謝の意を表します。

- Mandiant

- Google Threat Intelligence Group

投稿先