Netcrook Logo
👤 AGONY
🗓️ 19 Feb 2026   🌍 Asia

Dans les coulisses de Bolt : comment des hackers chinois ont transformé une faille Dell en un siège numérique silencieux

Sous-titre : Un mot de passe codé en dur dans le logiciel de sauvegarde de Dell a ouvert la porte à des hackers étatiques avancés et à leur malware furtif GrimBolt.

Par un matin ordinaire à la mi-2024, les équipes informatiques de grandes entreprises mondiales se sont retrouvées, sans le savoir, vulnérables à une intrusion silencieuse. Le coupable : un mot de passe oublié, enfoui au cœur de leurs systèmes de sauvegarde Dell RecoverPoint. Ce qui a suivi n’était pas une cyberattaque de routine, mais une infiltration calculée par un groupe lié à la Chine, armé d’une nouvelle arme numérique - GrimBolt - conçue pour prendre le contrôle même des systèmes censés sauver les entreprises en cas de crise.

En bref

  • Faille critique révélée : Dell RecoverPoint for Virtual Machines contenait un mot de passe administrateur codé en dur, identifié sous CVE-2026-22769.
  • UNC6201 lié à la Chine : Les hackers ont exploité la faille, prenant le contrôle total des systèmes de sauvegarde depuis au moins la mi-2024.
  • Malware GrimBolt : Un nouveau backdoor furtif déployé pour maintenir un accès persistant et indétecté.
  • Reprise après sinistre en danger : Les attaquants ont ciblé les outils mêmes sur lesquels les organisations comptent pour se remettre de catastrophes cyber.
  • Correctif urgent requis : Dell recommande une mise à jour immédiate vers la version 6.0.3.1 HF1 ou ultérieure ; la faille obtient la note de risque maximale de 10,0.

Anatomie d’une prise de contrôle silencieuse

La brèche a commencé par un identifiant unique et immuable - un oubli des développeurs qui a remis les clés du royaume aux attaquants. Selon le Threat Intelligence Group de Google et Mandiant, le groupe UNC6201 lié à la Chine a utilisé ces identifiants pour s’introduire dans les systèmes de reprise après sinistre des organisations, souvent la dernière ligne de défense en cas de crise. Une fois à l’intérieur, ils se sont déplacés latéralement, utilisant parfois des techniques comme les « Ghost NICs » pour masquer leurs traces et éviter la détection.

Leur objectif n’était pas le vol rapide, mais l’accès à long terme. En septembre 2025, les enquêteurs ont remarqué un changement : les attaquants ont déployé GrimBolt, un backdoor sur mesure conçu pour la rapidité et la furtivité. En modifiant les scripts de démarrage de l’appliance de sauvegarde, GrimBolt s’assurait de survivre aux redémarrages et de rester prêt pour de futures opérations - un parasite numérique presque invisible.

Les experts avertissent qu’il ne s’agit pas seulement d’une attaque contre les données, mais contre la résilience organisationnelle elle-même. « Compromettre l’infrastructure de résilience n’est pas opportuniste - c’est stratégique », explique Shane Barney, CISO chez Keeper Security. En contrôlant les systèmes de sauvegarde et de reprise, les attaquants peuvent décider quelles données seront restaurées après un incident - ou saboter entièrement la récupération. Comme le souligne Mayuresh Dani de Qualys, les attaquants « comprennent les architectures DR VMware modernes et savent y vivre discrètement ».

La cause profonde ? Une erreur simple, trop humaine : des identifiants codés en dur laissés dans un logiciel de production, un raccourci prévu pour les tests et jamais supprimé. Jeremiah Clark de Fenix24 souligne que de telles négligences sont souvent ignorées sous la pression du développement, mais leurs conséquences peuvent être catastrophiques.

Et maintenant ?

L’avis d’urgence de Dell exhorte toutes les organisations à mettre à jour immédiatement leur logiciel RecoverPoint. Pour celles qui ne peuvent pas appliquer le correctif tout de suite, un script de sécurité offre une protection temporaire. Surtout, les experts insistent sur l’importance d’isoler ces systèmes critiques d’internet et de les surveiller de près.

Une vision d’ensemble

Cet incident rappelle crûment que, en cybersécurité, la plus petite négligence peut ouvrir les plus grandes portes. À mesure que les attaquants deviennent plus patients et stratégiques, l’infrastructure de résilience elle-même devient une cible de choix. Pour les défenseurs, la vigilance doit dépasser le périmètre - jusqu’au code au cœur de leurs systèmes les plus fiables.

WIKICROOK

  • Identifiants codés en dur : Les identifiants codés en dur sont des noms d’utilisateur ou mots de passe intégrés dans le code logiciel, représentant un risque majeur de sécurité s’ils sont découverts par des attaquants ou des utilisateurs non autorisés.
  • Backdoor : Un backdoor est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par des attaquants pour prendre le contrôle en secret.
  • Mouvement latéral : Le mouvement latéral désigne le fait que des attaquants, après avoir pénétré un réseau, se déplacent latéralement pour accéder à d’autres systèmes ou données sensibles, élargissant ainsi leur contrôle et leur portée.
  • Reprise après sinistre (DR) : La reprise après sinistre (DR) regroupe les stratégies et outils permettant de restaurer les systèmes informatiques et les données après des perturbations, comme des cyberattaques, afin d’assurer la continuité d’activité et de minimiser les interruptions.
  • Score de risque : Un score de risque quantifie la gravité d’une vulnérabilité de sécurité, aidant les organisations à prioriser et traiter les menaces les plus critiques pour leurs systèmes.
Chinese Hackers GrimBolt Malware Dell Flaw
AGONY AGONY
Elite Offensive Security Commander
← Back to news