unc5221 - RunkIntel

# UNC5221 > [!warning] **UNC5221** é um grupo de ameaça atribuído a **China** ativo desde **2023**. ## Visão Geral **UNC5221** e uma designacao da Mandiant (agora Google Threat Intelligence Group - GTIG) para um cluster de ameaça com nexo suspeito a República Popular da China (**RPC**). O grupo foi identificado como o **primeiro explorador** da serie de vulnerabilidades criticas no **Ivanti Connect Secure**, iniciando operações em dezembro de 2023. O grupo demonstra tres caracteristicas distintivas: 1. **Acesso a zero-days em appliances de borda** antes da divulgacao pública 2. **Persistência pos-patch** - webshells sobrevivem a atualizacoes de firmware 3. **Reverse engineering de patches** - converte correcoes em novas exploits O UNC5221 (anteriormente incluia o cluster UNC5337) tem como alvo uma ampla gama de paises e setores, demonstrando recursos extensos de tooling e capacidade de atividade persistente de alto volume. ## Timeline - Campanha Persistente Contra Ivanti ```mermaid timeline title UNC5221 - Evolução das Campanhas Ivanti Dez 2023 : Zero-day CVE-2023-46805 + CVE-2024-21887 : Exploração ativa antes da divulgacao publica Ján 2024 : Volexity identifica 1700+ appliances comprometidos : Mandiant denomina cluster UNC5221 Ján 2024 : Cinco familias de malware documentadas : LIGHTWIRE ZIPLINE THINSPOOL WARPWIRE WIREFIRE Mar 2024 : MITRE Corporation confirma comprometimento via Ivanti : UNC5221 compromete orgao de cibersegurança dos EUA Dez 2024 : Zero-day CVE-2025-0282 : Novo buffer overflow - DRYHOOK e PHASEJAM Mar 2025 : CVE-2025-22457 explorado desde mid-Marco : TRAILBLAZE e BRUSHFIRE - novos malwares Abr 2025 : CISA adiciona CVE-2025-22457 ao KEV : Mandiant confirma UNC5221 como ator ``` > [!danger] Zero-Day Serial - 3 Anos Explorando Ivanti > O UNC5221 foi o **primeiro ator** a explorar zero-days no Ivanti Connect Secure em dezembro de 2023 e permaneceu **ativamente explorando novas vulnerabilidades** até 2025. O grupo demonstra capacidade de **reverse-engineeringde patches** - para CVE-2025-22457, a Ivanti tinha classificado como DoS de baixo risco, mas o UNC5221 analisou o patch e descobriu um caminho complexo para RCE. > [!info] Merging UNC5337 em UNC5221 > Em 2025, a Mandiant **mergeou o cluster UNC5337 ao UNC5221**, confirmando que as atividades anteriormente rastreadas separadamente eram do mesmo ator. O UNC5221 também foi identificado como o primeiro ator a explorar CVE-2023-4966 no Citrix NetScaler, demonstrando pattern de foco em edge devices de rede. > [!warning] Rede de Ofuscacao Global > O UNC5221 roteia intrucoes através de uma rede de dispositivos comprometidos - appliances Cyberoam, dispositivos QNAP NAS e roteadores ASUS - para mascarar a origem das operações. Isso torna extremamente dificil para defensores rastrear a atividade até os operadores. ## Attack Flow - Exploração de Appliances VPN Edge ```mermaid graph TB A["🔍 Reconhecimento de Versao Fingerprinting ICS via Host Checker Launcher"] --> B["💥 Exploração Zero-Day CVE-2023-46805 Auth Bypass + CVE-2024-21887 RCE"] B --> C["🐚 Webshells LIGHTWIRE Perl CGI em arquivos legitimos THINSPOOL garante re-deploy"] C --> D["📡 ZIPLINE Backdoor Passivo - aguarda magic string Blends into VPN traffic"] D --> E["🗺️ Mov. Lateral + Coleta WARPWIRE credential harvester Pivoting via Cyberoam/QNAP"] E --> F["📤 Exfiltração Dados gov/defesa/saude Apaga logs com SPAWNSLOTH"] classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef exploit fill:#c0392b,color:#fff,stroke:#922b21 classDef webshell fill:#e67e22,color:#fff,stroke:#d35400 classDef backdoor fill:#8e44ad,color:#fff,stroke:#6c3483 classDef lateral fill:#196f3d,color:#fff,stroke:#145a32 classDef exfil fill:#2471a3,color:#fff,stroke:#1a5276 class A recon class B exploit class C webshell class D backdoor class E lateral class F exfil ``` ## Campanhas Recentes ### Campanha Ivanti 2023-2024 - CVE-2023-46805 + CVE-2024-21887 Iniciada em dezembro de 2023, semanas antes da divulgacao pública em 10 de janeiro de 2024. O grupo explorou a chain de auth bypass + command injection para comprometer mais de **1.700 appliances** globalmente segundo a Volexity. **Vitimas documentadas:** Departamentos governamentais e militares, operadoras de telecomúnicacoes, contratados de defesa, empresas de tecnologia, servicos bancarios e financeiros, aeroespacial, aviacao - e a propria **MITRE Corporation** (abril 2024) e sistemas da **CISA** (sem dados roubados segundo a agencia). ### Campanha CVE-2025-0282 (Dezembro 2024) Novo zero-day no Ivanti Connect Secure antes do lancamento do patch. O UNC5337 (posteriormente mergeado ao UNC5221) implantou **DRYHOOK** e **PHASEJAM** - o PHASEJAM implementou técnica nova de bloquear upgrades legitimos enquanto exibia uma barra de progresso falsa para enganar administradores. ### Campanha CVE-2025-22457 (Marco 2025) A Ivanti havia classificado CVE-2025-22457 como bug de DoS de baixo risco. O UNC5221 **estudou o patch** lancado em fevereiro e descobriu um caminho complexo para RCE. Exploração ativa desde mid-marco de 2025, antes de qualquer patch adicional. Novos malwares: **TRAILBLAZE** (dropper in-memory apenas, escrito em C) e **BRUSHFIRE** (backdoor passivo que intercepta SSL_read esperando magic string). ## Arsenal e Malware **Ferramentas da campanha 2023-2024:** - **LIGHTWIRE** - Webshell em Perl CGI implantada em arquivos legitimos do ICS - **WIREFIRE (GIFTEDVISITOR)** - Webshell em Python, variante alternativa - **THINSPOOL** - Dropper em shell script que re-implanta LIGHTWIRE após atualizacoes - **ZIPLINE** - Backdoor passivo: upload/download, reverse shell, proxy, tunelamento - **WARPWIRE** - Credential harvester em JavaScript - **BUSHWALK** - Webshell com capacidade de leitura/escrita de arquivos - **PITFUEL** - Malware de persistência **Ferramentas adicionais (2024-2025):** - **SPAWNANT/SPAWNMOLE/SPAWNSNAIL** - Ecosistema SPAWN: installer, tunelador SSH - **SPAWNSLOTH** - Desabilita logging no appliance ICS - **PHASEJAM** - Webshell + bloqueador de upgrades (fake progress bar) - **TRAILBLAZE** - Dropper in-memory only em C puro - **BRUSHFIRE** - Backdoor passivo via hook SSL_read - **DRYHOOK** - Malware adicional pos-exploração ## Técnicas (TTPs) - **T1190 - Exploit Public-Facing Application** - Exploração de appliances VPN públicos - **T1059.004 - Unix Shell** - Uso de scripts shell para re-montagem e persistência - **T1505.003 - Web Shell** - LIGHTWIRE, WIREFIRE, BUSHWALK - **T1562.001 - Disable or Modify Tools** - SPAWNSLOTH desabilita logging - **T1070.004 - File Deletion** - Limpeza de evidências em logs - **T1078 - Valid Accounts** - WARPWIRE coleta credenciais para uso posterior - **T1090.003 - Multi-hop Proxy** - Roteamento via Cyberoam/QNAP/ASUS comprometidos **Técnicas MITRE referênciadas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1090-proxy|T1090]] ## Relevância LATAM O UNC5221 representa risco critico e imediato para o Brasil. O Ivanti Connect Secure e amplamente utilizado por provedores de VPN corporativo no Brasil: - **Telecom** - Grandes operadoras com trabalho remoto massivo - **Bancos** - Acesso remoto de colaboradores e contratados - **Governo** - Sistemas federais e estaduais de acesso remoto - **Saúde** - Hospitais e sistemas de saúde com acesso remoto Uma única instancia Connect Secure comprometida expoe TODOS os usuarios remotos. O fato de que o grupo **mantem acesso persistente pos-patch** (via THINSPOOL re-deploying LIGHTWIRE) significa que patches isolados sem investigação forense completa sao insuficientes. **Vitima brasileira indireta:** A MITRE Corporation, um dos maiores orgaos de referência em cibersegurança global (incluindo o MITRE ATT&CK usado extensivamente no Brasil), foi comprometida pelo UNC5221 via Ivanti em 2024. ## Detecção e Defesa - Upgrade imediato para Ivanti ICS 22.7R2.6 ou posterior - Executar o Integrity Checker Tool (ICT) interno e externo - Monitorar anomalias em processos web e core dumps - Investigar certificados TLS suspeitos apresentados a appliances - Verificar modificacoes no manifest do ICT (insercao de SHA256 adulterado) - Monitorar para sequencia de requests testando versoes antes de exploração **Mitigação referênciada:** [[m1051-update-software|M1051]] · [[m1016-vulnerability-scanning|M1016]] ## Referências - [Mandiant - UNC5221 Zero-Day CVE-2025-22457 (Abril 2025)](https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day) - [Mandiant - UNC5221 Post-Exploitation (Ján 2024)](https://www.mandiant.com/resources/blog/ivanti-post-exploitation-lateral-movement) - [CISA Advisory - Ivanti CVE-2023-46805 + CVE-2024-21887](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b) - [Bleeping Computer - CVE-2025-22457 UNC5221 (Abr 2025)](https://www.bleepingcomputer.com/news/security/ivanti-patches-connect-secure-zero-day-exploited-since-mid-march/) - [Picus Security - UNC5221 CVE-2025-22457 TTPs](https://www.picussecurity.com/resource/blog/unc5221-CVE-2025-22457-ivanti-connect-secure) **CVEs explorados:** [[cve-2023-46805|CVE-2023-46805]] · [[cve-2024-21887|CVE-2024-21887]] · [[cve-2025-0282|CVE-2025-0282]] · [[cve-2025-22457|CVE-2025-22457]] · [[cve-2023-4966|CVE-2023-4966]] **Vendors alvejados:** [[_ivanti|Ivanti]] · [[_citrix|Citrix NetScaler]] **Atores relacionados:** [[unc5325|UNC5325]] · [[g1048-unc3886|UNC3886]]