unc2630 - RunkIntel

# UNC2630 > [!high] Espionagem com Nexo Chinês — Base Industrial de Defesa dos EUA > UNC2630 é um cluster de atividade de ameaça persistente avançada com provável nexo chinês, responsável pela exploração massiva de vulnerabilidades zero-day em dispositivos Pulse Secure VPN em 2021. O grupo comprometeu dezenas de organizações na Base Industrial de Defesa (DIB) dos Estados Unidos, governos europeus e entidades do Indo-Pacífico. ## Visão Geral UNC2630 emergiu como ator de ameaça de destaque entre janeiro e abril de 2021, quando a Mandiant investigou um conjunto de intrusões em redes de alta segurança utilizando vulnerabilidades críticas nos dispositivos Pulse Connect Secure VPN. A Mandiant nomeou este cluster como "UNC2630" — designação para agrupamentos de atividade ainda não completamente atribuídos — e avaliou com baixa confiança uma possível relação com o grupo chinês [[g1023-apt5]], também conhecido como Mulberry Typhoon. O grupo demonstrou capacidade técnica sofisticada ao desenvolver e implantar múltiplas famílias de malware customizadas exclusivamente para dispositivos Pulse Secure, incluindo SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE, PULSECHECK, BLOODMINE, BLOODBANK, CLEANPULSE e RAPIDPULSE. A variedade e especialização dessas ferramentas indica um ator com recursos significativos e foco estratégico claro. O impacto das operações de UNC2630 foi amplificado pelo fato de que dispositivos Pulse Secure são amplamente utilizados por organizações de defesa, contratistas governamentais e infraestrutura crítica. No contexto do Brasil e LATAM, o risco é indireto, mas relevante: empresas da região que participam de cadeias de fornecimento com parceiros norte-americanos ou europeus comprometidos podem ter sido afetadas por dados ou credenciais roubadas. O CISA e o FBI emitiram avisos conjuntos (AA21-110A) sobre esta atividade em abril de 2021, e a Ivanti (então Pulse Secure) lançou patches de emergência. A investigação também revelou que UNC2630 não operou sozinho: um segundo grupo, UNC2717, explorou as mesmas vulnerabilidades em paralelo, sugerindo uma operação de espionagem coordenada de origem chinesa. ## Attack Flow e TTPs ```mermaid graph TB A["🎯 Reconhecimento Identificação de alvos DIB/Gov com Pulse Secure expostos"] --> B["💥 Acesso Inicial Exploração CVE-2021-22893 Bypass de autenticação MFA"] B --> C["🔧 Persistência Web shells customizados: SLOWPULSE, ATRIUM"] C --> D["🔑 Acesso a Credenciais BLOODMINE / BLOODBANK Extração de credenciais VPN"] D --> E["🕵️ Evasão de Defesas CLEANPULSE: remoção de logs e artefatos forenses"] E --> F["📡 Comúnicação C2 PACEMAKER / RADIALPULSE Comúnicação HTTPS encoberta"] F --> G["📤 Exfiltração Credenciais, PIIs e propriedade intelectual DIB"] ``` **Técnicas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1078-valid-accounts|T1078]] · [[t1055-process-injection|T1055]] ## CVEs Exploradas | CVE | CVSS | Descrição | Status | |-----|------|-----------|--------| | [[cve-2021-22893\|CVE-2021-22893]] | 10.0 | Bypass de autenticação Pulse Connect Secure | KEV CISA | | CVE-2019-11510 | 10.0 | Leitura arbitrária de arquivos Pulse Secure | Exploração ativa anterior | | CVE-2020-8243 | 7.2 | RCE via upload de arquivo Pulse Secure | Exploração em cadeia | | CVE-2020-8260 | 9.0 | RCE não autenticado Pulse Secure | Exploração em cadeia | A [[cve-2021-22893|CVE-2021-22893]] foi particularmente crítica: permitia que atacantes contornassem autenticação multifator (MFA) em dispositivos Pulse Connect Secure, efetivamente anulando um controle de segurança que muitas organizações consideravam suficiente para proteção. ## Arsenal de Malware Customizado UNC2630 implantou um conjunto extenso de ferramentas exclusivamente projetadas para o ecossistema Pulse Secure: ```mermaid graph TB subgraph "Acesso e Persistência" SW["SLOWPULSE Web shell / backdoor inicial"] RP["RADIALPULSE Acesso remoto persistente"] AT["ATRIUM Coleta de dados do sistema"] end subgraph "Exfiltração de Credenciais" BM["BLOODMINE Extração de logs VPN"] BB["BLOODBANK Armazenamento de credenciais"] end subgraph "Evasão e C2" CP["CLEANPULSE Remoção de artefatos forenses"] PM["PACEMAKER C2 encoberto via HTTPS"] PC["PULSECHECK Verificação de persistência"] end SW --> BM RP --> BB AT --> BM BM --> CP BB --> PM ``` **Software associado:** SLOWPULSE · RADIALPULSE · BLOODMINE · BLOODBANK · CLEANPULSE · ATRIUM · PACEMAKER · PULSECHECK · THINBLOOD · SLIGHTPULSE · RAPIDPULSE ## Nexo com APT5 A Mandiant avalia com **baixa confiança** que UNC2630 pode estar relacionado ao [[g1023-apt5]], um grupo de espionagem chinês de longa data também rastreado como Mulberry Typhoon. Essa avaliação se baseia em sobreposições táticas e no histórico de [[g1023-apt5]] em atingir tecnologias de acesso remoto e redes de defesa, mas as evidências não são suficientes para uma atribuição definitiva. Um segundo cluster, UNC2717, também explorou as mesmas vulnerabilidades Pulse Secure durante o mesmo período, sugerindo que múltiplos atores chineses tiveram acesso ao exploit, possívelmente compartilhado por uma equipe central de desenvolvimento. ## Detecção e Defesa ### Indicadores de Comprometimento Organizações que utilizavam Pulse Connect Secure durante 2021 devem verificar: - Presença dos arquivos de web shell descritos nos advisories CISA AA21-110A e AA21-236A - Logs de autenticação com bypass de MFA ou sessões sem autenticação completa - Processos incomuns no sistema operacional Pulse Secure (baseado em Linux) - Tráfego de rede anômalo originado do appliance VPN ### Mitigações Recomendadas - Aplicar todos os patches Pulse Secure/Ivanti disponíveis (CVE-2021-22893 e relacionadas) - Executar o Pulse Secure Integrity Checker Tool para detectar modificações de arquivos - Implementar [[m1030-network-segmentation|M1030]] para limitar acesso lateral pós-compromisso - Migrar para soluções de autenticação resistentes a bypass (FIDO2/hardware tokens) - Monitorar logs de VPN com [[ds-0015-application-log|DS0015]] para padrões de autenticação anômalos ## Referências - [Mandiant — UNC2630 and UNC2717 Pulse Secure Analysis (2021)](https://cloud.google.com/blog/topics/threat-intelligence/suspected-apt-activity-pulse-connect-secure) - [CISA Advisory AA21-110A — Exploitation of Pulse Connect Secure](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-110a) - [CISA Advisory AA21-236A — Pulse Connect Secure Follow-up](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-236a) - [[apt5-vpn-exploitation-2021]] — Campanha de exploração Pulse Secure - [[g1023-apt5]] — Grupo chinês possívelmente relacionado - [[cve-2021-22893|CVE-2021-22893]] — Vulnerabilidade crítica explorada (CVSS 10.0)