g1048-unc3886 - RunkIntel

# UNC3886 > [!danger] UNC3886 - Especialista em Hypervisors - Ameaça Invisivel ao Data Center > UNC3886 e o grupo APT chinês com **mais profundo conhecimento documentado de infraestrutura VMware ESXi** entre todos os atores rastreados. O grupo explorou CVE-2023-34048 (vCenter) como zero-day desde **laté 2021** - dois anos antes do patch - e em marco de 2025 explorou tres zero-days ESXi simultaneamente (CVE-2025-22224/22225/22226, CVSS 9.3). O grupo opera em **camadas do hypervisor que nenhum EDR convencional monitora**, tornando detecção extremamente dificil. ## Visão Geral UNC3886 (também rastreado como "Fire Ant" pela Sygnia) e um grupo de ciberespionagem com forte nexo ao governo chinês, ativo desde pelo menos 2021 e especializado em **comprometer infraestrutura de virtualizacao de alto valor** - específicamente plataformas VMware vSphere/ESXi e Fortinet FortiGaté. O grupo opera predominantemente contra organizacoes de defesa, tecnologia e telecomúnicacoes nos Estados Unidos e na regiao Asia-Pacifico/Jápao (APJ). O diferencial critico de UNC3886 e sua **capacidade operacional em ambientes hypervisor** - um espaco que historicamente carecia de monitoramento adequado e onde ferramentas convencionais de EDR nao operam. O grupo desenvolve e utiliza malware customizado específicamente projetado para a camada VMX (processo de gerenciamento de VMs no ESXi), implantado via **VIBs (vSphere Installation Bundles)** maliciosos - pacotes de software legitimos do ecossistema VMware que podem ser instalados sem reinicializacao. Em marco de 2025, a Microsoft e CISA emitiram alertas de urgencia máximo sobre o grupo explorando tres zero-days ESXi simultaneamente como parte da campanha **Fire Ant** documentada pela Sygnia. Singapura designou oficialmente UNC3886 como ameaça a segurança nacional. **Também conhecido como:** Fire Ant (Sygnia) **MITRE ATT&CK:** [G1048](https://attack.mitre.org/groups/G1048/) ## Evolução - Da Borda ao Nucleo do Data Center ```mermaid graph TB A["2021-2022 Comprometimento inicial FortiGaté edge devices"] --> B["2022-2023 Pivot para vCenter CVE-2023-34048 zero-day"] B --> C["2023-2024 Persistência ESXi via VIBs VIRTUALPITA/VIRTUALPIE"] C --> D["2024 - VMCI Sockets Canal C2 backdoor hypervisor para VM"] D --> E["Marco 2025 - Fire Ant 3 zero-days ESXi CVE-2025-22224/22225/22226"] classDef phase1 fill:#1a5276,color:#fff,stroke:#154360 classDef phase2 fill:#8e44ad,color:#fff,stroke:#6c3483 classDef phase3 fill:#e67e22,color:#fff,stroke:#d35400 classDef phase4 fill:#c0392b,color:#fff,stroke:#922b21 classDef phase5 fill:#7b241c,color:#fff,stroke:#641e16 class A phase1 class B phase2 class C phase3 class D phase4 class E phase5 ``` ## Attack Flow - Comprometimento de Hypervisor (2025) ```mermaid graph TB A["Acesso Inicial FortiGaté / vCenter zero-day exploit"] --> B["ESXi Foothold VIB malicioso instalado sem reinicializacao"] B --> C["Backdoor Hypervisor VIRTUALPITA porta 7475 no processo VMX"] C --> D["VMCI Socket C2 Canal oculto hypervisor para VMs guest"] D --> E["Movimento Lateral Acesso a TODAS as VMs no host comprometido"] E --> F["Persistência Profunda MOPSLED / CASTLETAP anti-forense ativo"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef esxi fill:#e67e22,color:#fff,stroke:#d35400 classDef back fill:#8e44ad,color:#fff,stroke:#6c3483 classDef vmci fill:#34495e,color:#fff,stroke:#2c3e50 classDef lateral fill:#1a5276,color:#fff,stroke:#154360 classDef persist fill:#196f3d,color:#fff,stroke:#145a32 class A access class B esxi class C back class D vmci class E lateral class F persist ``` ## CVEs Explorados - Historico de Zero-Days | CVE | Produto | CVSS | Impacto | Status | | --- | ------- | ---- | ------- | ------ | | [[cve-2023-34048\|CVE-2023-34048]] | VMware vCenter Server | 9.8 | RCE pre-auth - explorado 2 anos como zero-day | Patched Out 2023 | | [[cve-2023-20867\|CVE-2023-20867]] | VMware Tools | 3.9 | Auth bypass - execução de comandos em VMs | Patched | | [[cve-2025-22224\|CVE-2025-22224]] | VMware ESXi | 9.3 | TOCTOU - escalada para root no host | CISA KEV Mar 2025 | | [[cve-2025-22225\|CVE-2025-22225]] | VMware ESXi | 8.2 | Arbitrary write - escape do processo VMX | CISA KEV Mar 2025 | | [[cve-2025-22226\|CVE-2025-22226]] | VMware ESXi | 7.1 | HGFS - divulgacao de memoria | CISA KEV Mar 2025 | ## Arsenal de Malware Customizado **Backdoors de hypervisor:** - [[s1217-virtualpita|VIRTUALPITA]] - backdoor passivo no processo VMX, escuta na porta 7475 - [[s1218-virtualpie|VIRTUALPIE]] - backdoor Python para VMware ESXi com canais VMCI - [[s1224-castletap|CASTLETAP]] - implante para FortiGaté, intercepta pacotes ICMP para C2 **Malware para sistemas Linux/vSphere:** - [[s1221-mopsled|MOPSLED]] - backdoor modular, plugin-based C2 via GitHub Gist - [[s1223-thincrust|THINCRUST]] - backdoor Python para appliances virtuais Linux - [[s1219-reptile|REPTILE]] - rootkit Linux open-source customizado para evasão - [[s1220-medusa|MEDUSA]] - backdoor Linux com suporte a múltiplos protocolos - [[s1222-riflespine|RIFLESPINE]] - backdoor baseado em WinRM para pivotamento ## Técnicas Distintivas **VIBs maliciosos:** UNC3886 assina e instala VIBs ("CommunitySupported") contendo backdoors no ESXi. VIBs sao mecanismos legitimos de update - muitas organizacoes nao monitoram instalacoes de VIBs mesmo em ambientes criticos. **VMCI socket backdoor:** O grupo abusa do protocolo VMCI (Virtual Machine Commúnication Interface) para criar um canal de comunicação oculto entre o hypervisor comprometido e VMs guest - canal invisivel para ferramentas de monitoramento de rede convencionais. **Anti-forense sistematico:** Uso extenso de timestomping (T1070.006), limpeza de historico de conexoes (T1070.007) e desativacao de logging de historico de comandos (T1562.003) apagam rastros de comprometimento. ## Técnicas Utilizadas - [[t1027-005-indicator-removal-from-tools|T1027.005 - Indicator Removal from Tools]] - [[t1059-012-hypervisor-cli|T1059.012 - Hypervisor CLI]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1078-001-default-accounts|T1078.001 - Default Accounts]] - [[t1554-compromise-host-software-binary|T1554 - Compromise Host Software Binary]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1673-virtual-machine-discovery|T1673 - Virtual Machine Discovery]] - [[t1564-011-ignore-process-interrupts|T1564.011 - Ignore Process Interrupts]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1212-exploitation-for-credential-access|T1212 - Exploitation for Credential Access]] - [[t1675-esxi-administration-command|T1675 - ESXi Administration Command]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1070-007-clear-network-connection-history-and-configurations|T1070.007 - Clear Network Connection History and Configurations]] - [[t1059-006-python|T1059.006 - Python]] - [[t1548-abuse-elevation-control-mechanism|T1548 - Abuse Elevation Control Mechanism]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1562-003-impair-command-history-logging|T1562.003 - Impair Command History Logging]] ## Software Utilizado - [[s1221-mopsled|MOPSLED]] - [[s1218-virtualpie|VIRTUALPIE]] - [[s1224-castletap|CASTLETAP]] - [[s1223-thincrust|THINCRUST]] - [[s1217-virtualpita|VIRTUALPITA]] - [[s1219-reptile|REPTILE]] - [[s1220-medusa|MEDUSA]] - [[s1222-riflespine|RIFLESPINE]] ## Relevância para o Brasil e LATAM > [!danger] Risco Critico a Data Centers e Telecom Brasileiros > UNC3886 representa **ameaça critica e invisivel** para infraestrutura brasileira. Data centers que operam VMware ESXi em bancos (Itau, Bradesco, Santander, BB), telecomúnicacoes (Claro, Vivo, TIM, Oi) e governo federal estao expostos a um vetor de ataque que **nenhum EDR convencional consegue detectar**. O grupo opera abaixo do sistema operacional - na camada de virtualizacao raramente monitorada. A urgencia aumentou significativamente em marco de 2025: tres zero-days ESXi (CVE-2025-22224/22225/22226) foram adicionados ao CISA KEV como explorados ativamente por UNC3886. Qualquer organização brasileira rodando VMware vSphere sem os patches de marco de 2025 e potencialmente vulnerável a comprometimento total do data center. **Recomendacoes criticas:** - Aplicar imediatamente patches CVE-2025-22224/22225/22226 em ambientes ESXi - Auditar VIBs instalados para detectar pacotes nao autorizados - Implementar monitoramento de VMCI socket connections - Revisar logs de instalacao de VIBs retroativamente (2021+) --- *Fontes: [MITRE ATT&CK - G1048](https://attack.mitre.org/groups/G1048) | [Mandiant UNC3886](https://www.mandiant.com/resources/blog/unc3886-esxi-zero-day-fortinet) | [Sygnia Fire Ant Campaign](https://www.sygnia.co/blog/fire-ant-investigation-guide/) | [CISA KEV CVE-2025-22224](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)*