unc5325 - RunkIntel

# UNC5325 > [!info] Três Clusters - Um Alvo: Ivanti > O UNC5325 é um dos **três clusters distintos** identificados explorando vulnerabilidades Ivanti em campanhas paralelas: [[unc5221|UNC5221]] (primeiro explorador), UNC5325 (cluster paralelo) e [[unc5337|UNC5337]] (zero-day CVE-2025-0282). Todos com suspeito nexo à China. ## Perfil **UNC5325** é uma designação da [[sources|Mandiant]] para um cluster de ameaça com suspeita de nexo à República Popular da China (**RPC**). O grupo foi identificado explorando a mesma cadeia de vulnerabilidades que o [[unc5221]] ([[cve-2023-46805|CVE-2023-46805]] + [[cve-2024-21887|CVE-2024-21887]]) no [[connect-secure|Ivanti Connect Secure]], operando em paralelo com outros clusters em campanhas de espionagem contra setores estratégicos. A [[sources|Mandiant]] rastreou o UNC5325 como ator distinto do [[unc5221]], com ferramentas e infraestrutura diferentes, embora compartilhando o mesmo vetor de acesso inicial. ## Relevância para o Brasil e LATAM A existência de múltiplos clusters (UNC5221, UNC5325, UNC5337) explorando Ivanti simultaneamente indica que a vulnerabilidade é bem conhecida e amplamente explorada em toda LATAM. Brasil deve assumir que TODAS as instâncias Ivanti Connect Secure estão potencialmente comprometidas - não apenas por um ator, mas por TRÊS clusters paralelos com ferramentas diferentes. Isto complica resposta forense e recuperação. Substituição de appliances Ivanti por alternativas auditadas é recomendação crítica. ## TTPs Principais O UNC5325, vinculado ao UNC3886 e à campanha Cutting Edge (C0029), explora vulnerabilidades em Ivanti Connect Secure (T1190) incluindo CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893. O grupo trojaniza binários legítimos da Ivanti (T1554) para persistência, desabilita logging e modifica verificações de integridade (T1562.001), e remove indicadores limpando logs (T1070). Coleta configurações e dados de cache dos appliances (T1005), implementa keylogging via JavaScript modificado (T1056.001), utiliza túnel DNS para C2 (T1071.004), e emprega protocolos não-aplicação como Unix sockets e reverse TCP shells (T1095). ## Campanhas - [[ivanti-connect-secure-exploitation-2024]] - exploração das vulnerabilidades Connect Secure e Policy Secure **CVEs explorados:** [[cve-2023-46805|CVE-2023-46805]] · [[cve-2024-21887|CVE-2024-21887]] **Vendors alvejados:** [[_ivanti|Ivanti]] · [[connect-secure|Connect Secure]] · [[policy-secure|Policy Secure]] **Atores relacionados:** [[unc5221]] · [[unc5337]] --- *Fonte: [Mandiant - Ivanti Connect Secure VPN Zero-Day Exploitation](https://www.mandiant.com/resources/blog/ivanti-csand-exploitation)* *Fonte: [CISA Advisory AA24-060B](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.