# Operation Urban Ghost > [!medium] Campanha identificada por padrões de beacon C2 — operação de acesso persistente > **Operation Urban Ghost** é um agrupamento de atividade identificado por pesquisadores monitorando infraestrutura de C2 (Cobalt Strike/beacons similares) com padrões de comunicação e configuração incomuns. A campanha foi detectada através de hunting de infraestrutura — identificação proativa de servidores C2 ativos antes da comprometimento de vítimas conhecidas — usando técnicas de fingerprinting de certificados TLS e padrões de resposta HTTP de beacons. ## Visão Geral A Operation Urban Ghost representa o tipo de campanha identificada não por análise de vítimas, mas por monitoramento proativo de infraestrutura maliciosa na internet. Pesquisadores especializados em C2 hunting (como aqueles usando a plataforma Shodan, Censys ou GreyNoise com queries específicas para identificar servidores Cobalt Strike mal configurados) detectaram um cluster de servidores C2 compartilhando características de configuração incomuns — possívelmente indicando um único operador ou grupo usando os mesmos perfis Malleable C2. A campanha usa [[s0154-cobalt-strike]] como ferramenta primária de acesso remoto e movimentação lateral, configurado com perfis Malleable C2 que imitam tráfego legítimo (CDN, serviços de atualização de software, APIs conhecidas). A criptografia SMB para comunicação beacon-to-beacon interna dificulta a detecção em ambientes com inspeção de tráfego. O perfil de alvos sugere motivação de espionagem ou acesso para revenda (IAB). Para equipes de [[defense|defesa]] e threat hunters brasileiros, a Operation Urban Ghost exemplifica o valor do hunting proativo de infraestrutura C2: identificar servidores de comando e controle ativos antes que organizações sejam comprometidas permite bloquear preventivamente os IPs/domínios e alertar setores em risco. Ferramentas como MISP com feeds de C2 e Shodan queries customizadas são controles de inteligência preventiva de baixo custo e alto retorno. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Application Layer Protocol | [[t1071-001-web-protocols\|T1071.001]] | Beacon via HTTPS com Malleable C2 | | Symmetric Cryptography | [[t1573-001-symmetric-cryptography\|T1573.001]] | Comúnicação SMB criptografada entre beacons | | Cobalt Strike Beacon | [[t1219-remote-access-software\|T1219]] | Cobalt Strike como framework primário | ## Referências - [1](https://www.greynoise.io/blog/cobalt-strike-c2-hunting) GreyNoise - Cobalt Strike C2 Hunting Methodology (2024) - [2](https://censys.com/blog/hunting-cobalt-strike-c2) Censys - Hunting Cobalt Strike C2 Infrastructure (2024) - [3](https://github.com/splunk/attack_range/tree/develop/cobalt_strike) Splunk - Cobalt Strike Detection Research