Dell Sıfır Gün Açığı Üzerinden Çinli Siber Gruplar Kritik Sistemleri Hedef Alıyor

Siber güvenlik ekipleri, Çin devletleri yardımli olduğu değerlendirilen tek grubun Dell yazılımlarındaki eleştirel tek yanlışyı kullanarak yürüttüğü saklı operasyonları açığa çıkardı. Uzmanlar siber saldırganların 2024 yılının ortasından bu yana Dell sıfır gün açığı üzerinden stratejiklik ağlara sızdığını resmen duyurdu.

Dell Sistemlerindeki Sabitlenmiş Kimlik Bilgisi Hatası Büyük Risk Oluşturuyor

Mandiant ve Google Tehdit İstihbarat Grubu tarafından yayımlanan raporlar, Dell sıfır gün açığı üzerinden gerçekleştirilen siber operasyonun detaylarını gün yüzüne çıkardı. UNC6201 olarak kodlanan saldırgan grubu, Dell RecoverPoint for Virtual Machines çözümünde mekan saha CVE-2026-22769 kodlu zafiyeti hedefleri alıyor. Yazılım içerisinde sabitlik kodlanmış kişilik malumatleri barındıran Dell eleştirel güvenlik açığı, uzaktaki tek saldırganın sistemleri üzerinde en üst düzey ytesirleri ele geçirmesine temel hazırlıyor. Siber güvenlik uzmanları Dell ürünlerini kullanan kurumların acilen yamaları uygulaması lüzumtiğini vurguladı. Kurumsal iletişim araçları üzerinden yapılan açıklamalarda, sanal makinelerin yedekleme ve kurtarma süreçlerini yöneten bu sistemin kökler seviyesinde erişime açık olduğu malumatsi mekan aldı.

Operasyon sırasında saldırganlar ağ içerisine sızdıktan sonraları Grimbolt adını verdikleri yepyeni kuşak tek kötü amaçlı yazılımı devreye sokuyor. Eylül 2025 tarihinde keşfedilen bu gelişmiş arka kapı, çözümleme edilmeyi güçlaştıran modern derleme teknikleriyle üretiliyor. İş birliği platformlarında güvenliği tehditleri eden Çin merkezli saldırganlar, klasik uç husus himaye sistemlerinin bulunmadığı cihazlara odaklanarak aylarca ayrım edilmeden sistemde kalıyor. Liderliğini sürdürülebilir kılma hedefiyle hareket eden teknolojiler devleri, VMware hedefli saldırılar olarak tanımlanan bu yepyeni dalgaya karşı savunmalarını güncelliyor. Şirket içi toplumsal ağ duyurularına göre Grimbolt yazılımı, daha önceki operasyonlarda kullanılan Brickstorm zararlısının geliştirilmiş tek versiyonu olarak tanımlanıyor.

Saldırganların sanal altyapılar içinde gizlice hareketetti için kullandığı Ghost NIC tekniği sayısal müdafaa uzmanlarını oldukça şaşırttı. Dell RecoverPoint açığı üzerinden sızan siber korsanlar, VMware ESXi sunucuları üzerinde geçici ve saklı ağ portları açarak ağ trafiği izleme araçlarına yakalanmadan iç sistemler arasında geçiş yapıyor. Dell zero-day zafiyeti ile başlayan bu saldırı zinciri, sanallaştırma katmanında eşine dahaaz rastlanan tek gizlilik seviyesine ulaştı. Çinli siber casusluk grupları hukuk ve teknolojiler gibi eleştirel sektörlerde etkinlik gösteren ABD merkezli kocaman şirketleri hedefleri listesine aldı.

Siber tehditleri aktörlerinin sanal alet yedekleme sistemlerine sızarak bilgi sızıntısı yaratması, firma hafızanın güvenliğini doğrudan tehlikeye atıyor. Uzman ekipler firma sistemleri güvenlik riski oluşturan bu yepyeni ameliyat ile diğer bilinen saldırgan grupları arasında bağlantılar buldu. Sanallaştırma sunucularına doğrudan EDR ajanları kurulamaması, saldırganların uzunluğu süre sistemde barınmasına imkân tanıdı. Dell kullanıcıları şimdiki altyapılarını muhafaza etmek adına yayınlanan güvenlik rehberlerini titizlikle takip ediyor. Alınan önlemler sanal ağların bedensel katmanlarla olan bağlantılarını daha sıkı denetlemeyi kapsıyor.