fire-ant-campaign - RunkIntel

# Fire Ant Campaign > [!info] Visão Geral > **Fire Ant** e o nome dado pela Sygnia a uma campanha de espionagem de longo prazo conduzida pelo grupo chines [[g1048-unc3886]], com foco na exploração de infraestrutura de virtualizacao VMware ESXi/vCenter. A campanha explorou [[cve-2023-34048|CVE-2023-34048]] como zero-day desde pelo menos 2021 - dois anos antes do patch público - implantando backdoors nas camadas de hypervisor que sobrevivem a reinicios e evadem ferramentas EDR tradicionais. O grupo demonstra conhecimento profundo de plataformas de virtualizacao empresarial e sistemas Linux/Unix. ## Visão Geral A campanha Fire Ant representa uma das operações de espionagem mais técnicamente sofisticadas documentadas em infraestrutura de virtualização empresarial. O grupo [[g1048-unc3886]], com nexo chinês, explorou [[cve-2023-34048|CVE-2023-34048]] como zero-day no VMware vCenter por pelo menos dois anos antes da divulgação pública do patch em outubro de 2023 — uma janela de exploração silenciosa que passou despercebida em centenas de organizações de defesa, governo e tecnologia. A pesquisa da Sygnia em 2025 consolidou os achados sob o nome "Fire Ant", mapeando a evolução das ferramentas e técnicas do grupo ao longo desse período. A técnica central é a implantação de backdoors diretamente na camada de hypervisor VMware ESXi — específicamente usando o [[s1217-virtualpita]] como implante passivo no vmkernel. Esta abordagem é deliberadamente projetada para evadir soluções EDR tradicionais que rodam nos guest VMs: como o implante existe na camada de hypervisor, ferramentas de segurança instaladas nos sistemas operacionais convidados não têm visibilidade sobre ele. Uma vez no ESXi, o grupo usa [[cve-2023-20867|CVE-2023-20867]] para mover-se lateralmente para os guest VMs através do VMware Tools, sem necessidade de credenciais adicionais. O impacto potencial é crítico para qualquer organização que depende de VMware ESXi/vCenter para hospedar cargas de trabalho sensíveis: toda virtualização é, em última análise, tão segura quanto o hypervisor que a executa. Para ambientes de [[government|governo]] e [[defense|defesa]] no Brasil que utilizam plataformas VMware — incluindo data centers do governo federal —, o Fire Ant demonstra a necessidade de monitoramento específico de integridade de hypervisors e de patches de emergência mesmo para vulnerabilidades em produtos de infraestrutura tipicamente considerados de baixo risco de exploração. ## Attack Flow ```mermaid graph TB A["🌐 Exploração do vCenter CVE-2023-34048 zero-day DCERPC out-of-bounds write"] --> B["🔓 Comprometimento do ESXi Acesso root ao hypervisor sem autenticação"] B --> C["🔌 Implantação de VIRTUALPITA Backdoor passivo em vmkernel do ESXi"] C --> D["🔒 Evasão de Segurança Desabilita logging, apaga artefatos forenses"] D --> E["🎯 Movimento Lateral CVE-2023-20867 para Guest VMs via VMtools"] E --> F["📦 Carga Adicional VIRTUALGATE dropper nos sistemas guests"] F --> G["📤 Exfiltração Persistente Dados via hypervisor layer por anos sem detecção"] ``` **Legenda:** [[g1048-unc3886]] foca na camada de hypervisor para escapar de EDR nos guest VMs. [[s1217-virtualpita]] e o implante primario no ESXi; [[virtualgaté]] facilita persistência nos guests. CVEs explorados: [[cve-2023-34048|CVE-2023-34048]], [[cve-2023-20867|CVE-2023-20867]], [[cve-2022-1388|CVE-2022-1388]]. ## Cronologia | Data | Evento | |------|--------| | Ján 2021 | Primeiros indicios de exploração - zero-day CVE-2023-34048 usado anos antes do patch | | Out 2022 | Mandiant documenta atividade inicial do UNC3886 em VMware ESXi | | Ján 2023 | VMware lanca patch para CVE-2023-34048 após relatorio de Trend Micro | | Jun 2023 | Mandiant pública análise completa de VIRTUALPITA e VIRTUALGATE | | Ago 2023 | Sygnia nomeia a campanha "Fire Ant" e amplia escopo documentado | | Ján 2024 | CVE-2022-1388 (F5 BIG-IP) adicionada ao arsenal do grupo | | Jul 2025 | Sygnia pública relatorio completo da campanha Fire Ant com novos TTPs | ## TTPs Documentadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploração de Aplicação Exposta | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2023-34048: DCERPC heap overflow no vCenter | | Desativar Ferramentas de Segurança | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desabilitar logging ESXi e mecanismos de auditoria | | Deletar Arquivos | [[t1070-004-file-deletion\|T1070.004]] | Remoção de artefatos forenses e logs de auditoria | | Shell Unix | [[t1059-004-unix-shell\|T1059.004]] | Execução via shell no ESXi e sistemas Linux | ## Vitimas Documentadas - **Setor de defesa dos EUA**: contratantes e agencias com infraestrutura VMware - **Governo jápones e sul-coreano**: ministerios com ambientes vCenter comprometidos - **Telecomúnicacoes**: provedores de infraestrutura critica na Asia-Pacifico - **Tecnologia**: empresas de semicondutores e fabricantes de chips **Escopo estimado**: dezenas de organizacoes com ambientes VMware ESXi comprometidos por 2+ anos sem detecção. ## Relevância para LATAM e Brasil 1. **Infraestrutura VMware ubiqua**: VMware ESXi/vCenter e amplamente usado em datacenters governamentais e financeiros brasileiros - [[cve-2023-34048|CVE-2023-34048]] afeta versoes ainda em uso no pais 2. **Evasão de EDR via hypervisor**: A técnica de implantar backdoors no ESXi - abaixo do sistema operacional - representa um vetor sem cobertura em muitas organizacoes brasileiras 3. **Alerta para infraestrutura critica**: O modelo de campanha de longo prazo (2+ anos sem detecção) ressalta a necessidade de monitoramento de integridade de hypervisores em energia, financeiro e telecomúnicacoes ```mermaid graph TB subgraph "Superficie de Ataque VMware" A["vCenter Server CVE-2023-34048"] --> B["ESXi Hypervisor Implante VIRTUALPITA"] B --> C["Guest VMs CVE-2023-20867 via VMtools"] end subgraph "Impacto Potencial no Brasil" D["Datacenters Governamentais VMware ESXi prevalente"] --> E["Sem visibilidade EDR no hypervisor"] E --> F["Anos de persistência sem detecção"] end ``` ## Mitigação - **Patch imediato de CVE-2023-34048**: Atualizar vCenter para versao 8.0 U2 ou superior - patch disponível desde ján/2023 - **Monitoramento de integridade do ESXi**: Verificar regularmente módulos carregados no kernel VMkernel - **Segmentacao de rede para management plane**: Isolar interfaces de gerenciamento do vCenter/ESXi em VLAN dedicada - [[m1030-network-segmentation|M1030]] - **Revisar permissoes do VMtools**: Restringir capacidades de comunicação host-guest via VMtools - [[m1026-privileged-account-management|M1026]] - **Autenticação multi-fator no vCenter**: Habilitar MFA para acesso administrativo e monitorar logins ## Referências - [1](https://www.sygnia.co/threat-intelligence-reports/fire-ant-campaign-unc3886-espionage/) Sygnia - Fire Ant Campaign: UNC3886 Espionage via VMware (2025) - [2](https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass) Mandiant - Zero-Day Exploitation in VMware ESXi by UNC3886 (2023) - [3](https://www.trendmicro.com/en_us/research/23/l/CVE-2023-34048-vmware-vcenter-server.html) Trend Micro - CVE-2023-34048 Analysis (2023) - [4](https://attack.mitre.org/groups/G1009/) MITRE ATT&CK - UNC3886 Group Profile - [5](https://www.mandiant.com/resources/blog/unc3886-uses-fortigaté-fortios-0-day-and-stealth-tactics) Mandiant - UNC3886: Fortinet and VMware Zero-Days (2024)