# Earth Estries Beta Campaign 2024 > [!info] Visão Geral > A **campanha Beta do Earth Estries** e uma operação de espionagem avancada conduzida pelo grupo chines [[earth-estries]] (também conhecido como [[g1045-salt-typhoon]], FamousSparrow e GhostEmperor). Documentada pela Trend Micro em 2024, a campanha "Beta" mira específicamente provedores de telecomúnicacoes no Sudeste Asiatico usando o backdoor modular [[ghostspider]] - uma ferramenta sophisticada que carrega diferentes módulos conforme o ambiente vitima. O grupo e o mesmo associado ao comprometimento de operadoras de telecomúnicacoes nos EUA em 2024-2025. ## Visão Geral A campanha Beta do Earth Estries é parte de uma operação de espionagem de longo prazo conduzida pelo [[earth-estries]] — um grupo APT com nexo chinês rastreado também como [[g1045-salt-typhoon]], FamousSparrow e GhostEmperor. Documentada pela Trend Micro em 2024, a campanha "Beta" (em contrapósição à campanha "Alpha" anterior) tem como alvo específico provedores de telecomúnicações no Sudeste Asiático, usando o backdoor modular [[ghostspider]] como ferramenta principal de espionagem persistente. O mesmo grupo foi posteriormente identificado como responsável pelo comprometimento de grandes operadoras de telecomúnicações nos Estados Unidos em 2024-2025, incluindo AT&T e Verizon. O vetor inicial da campanha envolve exploração de dispositivos de borda vulneráveis — especialmente appliances Ivanti e Fortinet — usando CVEs como [[cve-2023-46805|CVE-2023-46805]] e [[cve-2024-21887|CVE-2024-21887]]. Uma vez dentro da rede, o grupo implanta o rootkit [[demodex]] para persistência no nível do kernel, garantindo sobrevivência a reinicializações e reimagens de sistema. O [[ghostspider]] é então instalado como backdoor principal — sua arquitetura modular permite carregar diferentes capacidades conforme o ambiente da vítima, mantendo pegada mínima até que funcionalidades específicas sejam necessárias. O objetivo estratégico é a interceptação de metadados de comúnicações — quem liga para quem, quando e por quanto tempo — e em alguns casos o conteúdo de comúnicações de alto valor. Para o [[telecom|setor de telecomúnicações]], este caso demonstra a necessidade crítica de monitoramento de integridade em dispositivos de borda e a inadequação de controles de segurança tradicionais contra adversários com capacidade de explorar vulnerabilidades antes de patches públicos. A presença de rootkits de kernel como o Demodex implica que investigações forenses precisam ir além de logs de sistema padrão. ## Attack Flow ```mermaid graph TB A["🌐 Exploração de Edge Devices<br/>CVE-2023-46805 / CVE-2024-21887<br/>Ivanti + Fortinet vulneraveis"] --> B["🔑 Comprometimento Inicial<br/>Credenciais válidas ou<br/>webshell em servidor exposto"] B --> C["🕷️ DEMODEX Rootkit<br/>Persistência no kernel<br/>resiste a reboot e reimagem"] C --> D["👻 GHOSTSPIDER Backdoor<br/>Modular, comúnicação TLS<br/>com infraestrutura propria"] D --> E["📡 Reconhecimento Profundo<br/>Mapeamento de rede de<br/>telecomúnicacoes e clientes"] E --> F["🔄 Movimento Lateral<br/>MASOL RAT em Linux<br/>para mais sistemas internos"] F --> G["📤 Exfiltração de Longo Prazo<br/>Metadados de chamadas,<br/>interceptação de comúnicacoes"] ``` **Legenda:** [[earth-estries]] usa [[demodex]] para persistência de kernel e [[ghostspider]] como backdoor principal. [[masol-rat]] expande acesso em sistemas Linux de telecomúnicacoes. CVEs explorados: [[cve-2023-46805|CVE-2023-46805]], [[cve-2024-21887|CVE-2024-21887]], [[cve-2023-48788|CVE-2023-48788]]. ## Cronologia | Data | Evento | |------|--------| | Ján 2023 | Primeiras deteccoes de GHOSTSPIDER em ambientes de telecomúnicacoes | | Jun 2023 | Trend Micro identifica Earth Estries como ator separado do GhostEmperor | | Out 2023 | Ivanti patcha CVE-2023-46805 - já explorado pelo grupo | | Ján 2024 | Fortinet lanca patches para CVE-2023-48788 após exploração ativa | | Nov 2024 | Trend Micro pública análise completa da campanha Beta com GHOSTSPIDER | | Dez 2024 | US authorities revelam Salt Typhoon como o mesmo grupo - telcos americanas comprometidas | | Ján 2025 | CISA emite alerta sobre Salt Typhoon em provedores de telecomúnicacoes dos EUA | ## TTPs Documentadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploração de Aplicação Exposta | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2023-46805 em Ivanti Connect Secure | | Contas Validas | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas para acesso legitimo | | Arquivos Ofuscados | [[t1027-obfuscated-files-or-information\|T1027]] | GHOSTSPIDER com comunicação TLS e módulos criptografados | | Sinalizacao de Trafego | [[t1205-traffic-signaling\|T1205]] | Knock-based activation do backdoor GHOSTSPIDER | | Protocolo de Aplicação Web | [[t1071-001-web-protocols\|T1071.001]] | MASOL RAT usa HTTP para C2 em sistemas Linux | ## Vitimas Documentadas - **Provedores de telecomúnicacoes no Sudeste Asiatico**: operadoras em Tailandia, Indonesia, Filipinas e Vietnam - **Operadoras nos EUA**: AT&T, Verizon e T-Mobile (como Salt Typhoon) - impacto em metadados de chamadas - **Orgaos governamentais**: ministerios de telecomúnicacoes na Asia - **Estimativa Trend Micro**: mais de 20 organizacoes comprometidas apenas na campanha Beta ## Relevância para LATAM e Brasil 1. **Setor de telecomúnicacoes como alvo prioritario**: A Agencia Nacional de Telecomúnicacoes (Anatel) e operadoras brasileiras (Claro, Vivo, Tim) usam Ivanti e Fortinet - os mesmos produtos explorados nesta campanha 2. **GHOSTSPIDER e modular e adaptavel**: O backdoor pode ser reconfigurado para novos ambientes sem recompilacao - risco de adaptacao para alvos brasileiros 3. **Interceptação de telecomúnicacoes**: O modelo de comprometimento de provedores de telecom para interceptar metadados de chamadas e aplicavel a qualquer pais com infraestrutura de telecomúnicacoes exposta 4. **Alerta para ANATEL**: Regulador brasileiro deve exigir auditoria de dispositivos Ivanti e Fortinet em operadoras nacionais ```mermaid graph TB subgraph "Earth Estries - Identidades" A["Earth Estries<br/>(Trend Micro)"] --> E["Mesmo Ator"] B["Salt Typhoon<br/>(Microsoft)"] --> E C["FamousSparrow<br/>(ESET)"] --> E D["GhostEmperor<br/>(Kaspersky)"] --> E end subgraph "Alvos Prioritarios" E --> F["Telecomúnicacoes<br/>SE Asia + EUA"] E --> G["Governo<br/>Acesso diplomatico"] end ``` ## Mitigação - **Patch urgente de CVE-2023-46805 e CVE-2024-21887**: Atualizar Ivanti Connect Secure imediatamente - explorados como zero-days - **Auditoria de dispositivos de borda**: Revisar integridade de Ivanti, Fortinet e Cisco em redes de telecomúnicacoes - [[m1016-vulnerability-scanning|M1016]] - **Detecção de DEMODEX**: Buscar pelo rootkit que persiste mesmo após reimagem - requer análise de memoria e ferramentas especializadas - **Segmentacao de rede de gerenciamento**: Isolar sistemas OAM (Operations, Administration, Maintenance) de telecomúnicacoes - [[m1030-network-segmentation|M1030]] - **Monitoramento de trafego TLS sainte**: Inspecionar certificados TLS de conexoes a partir de sistemas criticos - detecta GHOSTSPIDER ## Referências - [1](https://www.trendmicro.com/en_us/research/24/k/earth-estries-ghostspider.html) Trend Micro - Earth Estries: GHOSTSPIDER Backdoor Campaign Analysis (2024) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-290a) CISA - Salt Typhoon Telecommúnications Compromise Advisory (2024) - [3](https://www.microsoft.com/en-us/security/blog/2024/12/11/salt-typhoon-targeting-telecoms/) Microsoft - Salt Typhoon Targeting Telecom Providers (2024) - [4](https://attack.mitre.org/groups/G1020/) MITRE ATT&CK - Earth Estries Group Profile - [5](https://securelist.com/ghostemperor-from-proxylogon-to-kernel-control/104407/) Kaspersky Securelist - GhostEmperor: From ProxyLogon to Kernel Control (2021)