Team MailSniper
Autore
Era un martedì di settembre 2024, poco dopo le nove. Il responsabile IT di un'azienda manifatturiera di medie dimensioni — chiamiamolo Marco, il nome è di fantasia — stava scorrendo i log della notte precedente mentre aspettava che il caffè si raffreddasse abbastanza da poterlo bere. Niente di allarmante: il sistema di backup aveva girato regolarmente, le macchine virtuali risultavano tutte operative, gli alert automatici erano rimasti silenziosi.
Poi, quasi per caso, notò qualcosa. Connessioni in uscita da RecoverPoint, il sistema Dell che gestisce la replica e il ripristino delle VM. Niente di clamoroso: qualche richiesta verso IP remoti, orari insoliti, volumi di traffico leggermente sopra la media. Il tipo di anomalia che, in un sistema complesso, può avere mille spiegazioni innocue.
Marco aprì un ticket interno con priorità media, scrisse "verificare configurazione RecoverPoint — traffico inatteso", e passò alla riunione delle 9:30.
Quello che non sapeva è che quegli IP appartenevano a infrastrutture riconducibili a UNC6201, un cluster di minacce con presunti legami con la Cina. E che quegli operatori erano dentro il suo sistema di backup — la componente più critica dell'intera infrastruttura — già da almeno tre settimane.
Il ticket rimase aperto per undici giorni.
CVE-2026-22769 è catalogata con il massimo punteggio di severità nel sistema CVSS: 10.0. Non è un'iperbole o una classificazione difensiva adottata per eccesso di cautela. È il massimo assoluto, riservato a vulnerabilità che permettono l'esecuzione remota di codice senza autenticazione, con impatto completo su riservatezza, integrità e disponibilità del sistema.
Dell RecoverPoint for Virtual Machines è una soluzione enterprise pensata per la business continuity: gestisce la replica continua delle VM, i punti di ripristino, i failover. È il componente che consente a un'organizzazione di dire "se tutto va storto, torniamo operativi in pochi minuti". Compromettere RecoverPoint significa, di fatto, compromettere la capacità di recupero dell'intera infrastruttura.
Il problema più grave non è la vulnerabilità in sé. Le vulnerabilità esistono in qualsiasi software complesso e questo è, in qualche misura, accettabile. Il problema è la timeline: secondo i ricercatori di Mandiant che hanno ricostruito la catena di attacchi, UNC6201 stava sfruttando questa falla già dalla metà del 2024. La patch ufficiale è arrivata all'inizio del 2026. Diciotto mesi di finestra aperta, durante i quali chiunque fosse a conoscenza dell'exploit aveva accesso privilegiato a migliaia di infrastrutture virtuali sparse nel mondo.
Nel settore della sicurezza informatica, si parla di "dwell time" — il tempo che un attaccante trascorre all'interno di una rete prima di essere scoperto. I report annuali sui principali incident response mostrano numeri che sorprendono ancora chi si aspetta che le intrusioni vengano rilevate in pochi giorni. In questo caso, però, il dwell time non era una questione di rilevazione fallita: era strutturale, incorporato nella timeline della vulnerabilità stessa.
Per capire la gravità di CVE-2026-22769 bisogna prima capire cosa fa RecoverPoint nel contesto di un'infrastruttura virtualizzata moderna.
RecoverPoint for VMs agisce come uno strato di orchestrazione tra i sistemi di storage, gli hypervisor — tipicamente VMware vSphere — e i meccanismi di replica. Ha accesso privilegiato a tutto: ai dischi delle macchine virtuali, alle snapshot, ai dati di configurazione. In termini di permessi, è uno dei componenti con il livello di trust più alto dell'intera infrastruttura. È letteralmente la chiave di tutto.
La vulnerabilità risiede nel modo in cui RecoverPoint gestisce determinate richieste all'interfaccia di gestione. Un attaccante che riesce a raggiungere quella interfaccia — tipicamente esposta sulla rete interna, ma spesso accessibile anche dall'esterno in configurazioni non ottimali — può inviare una richiesta malformata che bypassa completamente il meccanismo di autenticazione e ottiene l'esecuzione di codice arbitrario con privilegi di sistema.
UNC6201 non arriva direttamente a RecoverPoint. Il punto d'ingresso iniziale è solitamente più "morbido": un'email di spear phishing contro profili specifici, una credenziale compromessa rivenduta in qualche marketplace underground, una VPN configurata con autenticazione debole. Una volta all'interno della rete aziendale, il gruppo conduce una fase di ricognizione silenziosa per mappare l'infrastruttura. In questa fase cercano sistemi di gestione e backup — esattamente il tipo di target ad alto valore che RecoverPoint rappresenta.
Una volta identificata un'istanza di RecoverPoint raggiungibile, l'exploit viene lanciato. Non richiede credenziali valide. Non richiede interazione da parte dell'utente. È sufficiente la raggiungibilità di rete dell'interfaccia di gestione. Il payload viene eseguito con i massimi privilegi di sistema in pochi secondi. Nessuna finestra di dialogo. Nessun alert. Nessuna traccia visibile nei log applicativi standard.
Con accesso root al sistema RecoverPoint, gli attaccanti installano backdoor persistenti che sopravvivono ai riavvii e, in alcuni casi documentati, anche agli aggiornamenti del software. Da qui inizia la lateralizzazione verso i sistemi connessi: hypervisor, datastore, sistemi di directory e autenticazione. Avere il controllo del layer di backup significa avere una visione completa di tutta l'infrastruttura, inclusi i dati che transitano attraverso i processi di replica continua.
Questa è la parte che distingue UNC6201 dai gruppi ransomware più rumorosi. L'obiettivo non è cifrare i dati e chiedere un riscatto — almeno non nell'immediato. L'obiettivo è restare invisibili il più a lungo possibile, raccogliendo informazioni: dati aziendali riservati, credenziali, piani strategici, proprietà intellettuale. Il modello è quello dello spionaggio industriale e governativo, non della criminalità opportunistica.
Nei casi analizzati, i volumi esfiltrati venivano compressi e cifrati prima dell'invio, frammentati in sessioni progettate per imitare il traffico di backup legittimo. Per un analista che non sapesse esattamente cosa cercare, quei pacchetti sembravano rumore di fondo in un sistema sano.
Il danno diretto di un'intrusione come questa è difficile da quantificare, e le aziende raramente lo rendono pubblico. Ma i componenti sono sempre gli stessi.
C'è il danno immediato: i costi di incident response, le ore di lavoro degli specialisti forensi, la sostituzione o il re-imaging dei sistemi compromessi. Per un'organizzazione di medie dimensioni, le stime degli analisti collocano questi costi nell'ordine delle centinaia di migliaia di euro anche solo per la fase di contenimento e ripristino.
C'è poi il danno da data breach: se i dati esfiltrati includono informazioni personali di clienti o dipendenti — e nei sistemi di backup è quasi inevitabile che ci siano — scatta l'obbligo di notifica al Garante Privacy entro 72 ore dalla scoperta. Le sanzioni GDPR in caso di violazione possono essere significative, ma il costo reputazionale di dover comunicare ai propri clienti che i loro dati sono stati rubati è spesso ancora più pesante da gestire nel lungo periodo.
C'è infine il danno più difficile da misurare: la perdita di vantaggio competitivo. Piani industriali, accordi commerciali riservati, progetti di ricerca e sviluppo — se queste informazioni finiscono nelle mani di concorrenti o attori statali, l'impatto può manifestarsi mesi o anni dopo l'intrusione, in forme quasi impossibili da ricondurre all'evento originale.
Per molte aziende, il colpo più duro non arriva dall'attacco, ma dalla scoperta tardiva. Diciotto mesi sono un'eternità: abbastanza per copiare tutto ciò che vale la pena copiare, e per cancellare le tracce con cura.
CVE-2026-22769 ci dice qualcosa di scomodo: i sistemi che utilizziamo per proteggerci — i backup, i sistemi di disaster recovery, gli strumenti di replica — sono bersagli di primissimo piano. Chi li controlla, controlla tutto.
La prima lezione riguarda la visibilità. Un'anomalia nel traffico di RecoverPoint era rilevabile già a settembre 2024 — ma senza un sistema di monitoraggio configurato per correlare quei segnali deboli, la finestra d'allarme si chiude in pochi secondi e non viene più colta. Investire in SIEM e threat detection non è un privilegio delle grandi enterprise: è una necessità per chiunque gestisca infrastrutture critiche, indipendentemente dalle dimensioni.
La seconda riguarda la segmentazione di rete. RecoverPoint non dovrebbe essere raggiungibile da qualsiasi segmento aziendale. L'interfaccia di gestione dovrebbe essere isolata, accessibile solo da host dedicati e monitorati con attenzione. Molte organizzazioni lavorano con configurazioni "flat" per comodità operativa, e quella comodità diventa un corridoio aperto per gli attaccanti che hanno già superato il perimetro.
La terza — spesso trascurata — è la supply chain della fiducia. I sistemi enterprise che installiamo nelle nostre infrastrutture godono per default di un livello di trust elevatissimo. Questo è necessario per funzionare, ma significa anche che quando vengono compromessi, l'attaccante eredita quella fiducia in modo invisibile. Occorre trattare i componenti interni con la stessa diffidenza critica che riserviamo ai perimetri esterni.
Sul fronte email — che rimane il vettore di accesso iniziale più comune anche in attacchi sofisticati come questo — la protezione avanzata fa differenza nelle fasi preliminari, quando gli attaccanti cercano una prima testa di ponte nella rete. MailSniper, basato su Libraesva Email Security, include sandbox per gli allegati e analisi URL in tempo reale: strumenti che intercettano le email di spear phishing prima che raggiungano la casella. Non è la soluzione a CVE-2026-22769, ma chiude il vettore che spesso lo precede.
Infine, la patch management. Diciotto mesi di finestra non sono giustificabili per alcun sistema critico. Le aziende devono avere processi chiari per la gestione delle vulnerabilità, con prioritizzazione basata sull'esposizione effettiva dei sistemi. Se non sapete esattamente quali versioni di software girano nella vostra infrastruttura — e quante sono prive degli ultimi aggiornamenti — è il momento di scoprirlo. La sezione come funziona la difesa moderna offre un punto di partenza utile per capire cosa cercare.
Alla fine di questa storia, Marco — il nostro IT manager di fantasia — non era incompetente. Aveva visto l'anomalia. Aveva aperto un ticket. Aveva seguito le procedure.
Il problema era che le procedure erano calibrate su un modello di minaccia diverso da quello reale. Nel modello tradizionale, un attacco è rumoroso, urgente, immediatamente riconoscibile. Nel modello di UNC6201, un attacco è silenzioso, paziente, progettato per sembrare normale anche a occhi esperti.
La domanda che ogni responsabile IT dovrebbe porsi non è "siamo stati attaccati?" — perché la risposta, statisticamente, è probabilmente già sì. La domanda giusta è: "se un attaccante è nella nostra rete in questo momento, lo sapremmo riconoscere?"
Se la risposta è incerta, è già una risposta.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoVenerdì pomeriggio, CISA aggiunge CVE-2025-53521 al KEV: exploit attivi su F5 BIG-IP APM, il sistema che gestisce l'accesso remoto di migliaia di aziende. La corsa contro il tempo è iniziata.
LeggiIl Rapporto Clusit 2025 lancia l'allarme: il manifatturiero italiano è diventato il bersaglio preferito degli hacker. Con 213 attacchi in sei mesi, le aziende industriali devono correre ai ripari prima che sia troppo tardi.
LeggiQuando i criminali si nascondono dietro un fornitore fidato, l'email non sembra pericolosa — perché non lo è. La minaccia arriva dall'interno della catena di fiducia. Ecco come funziona il vendor email compromise e cosa si può fare.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.