unc5337 - RunkIntel

# UNC5337 > [!high] > Grupo de espionagem com nexo na China, especializado na exploração silenciosa de appliances Ivanti Connect Secure. Implanta o ecossistema de malware SPAWN - uma suíte de ferramentas de nível profissional projetada para sobreviver a redefinições de fábrica e atualizações de firmware. ## Visão Geral **UNC5337** é um grupo de ameaça persistente avançada (APT) com atribuição ao nexo chinês, rastreado pela Mandiant desde o final de 2023. O grupo é fortemente associado ao **[[unc5221|UNC5221]]** - há evidências técnicas e sobreposição operacional que sugerem que ambos os clusters fazem parte da mesma operação ou infraestrutura de espionagem. O diferencial tático do UNC5337 é o foco exclusivo em vulnerabilidades de dia zero e N-day no **[[ivanti|Ivanti Connect Secure]]** (anteriormente Pulse Secure), um popular appliance VPN empresarial. O grupo explora essa superfície de ataque para implantar um ecossistema de malware sofisticado - a família **SPAWN** - que foi específicamente projetada para sobreviver a redefinições de fábrica e upgrades de firmware, tornando a erradicação excepcionalmente difícil. A relevância estratégica do UNC5337 para o Brasil e a América Latina é alta: appliances Ivanti Connect Secure são amplamente utilizados em organizações governamentais, defesa, telecomúnicações e setor financeiro regionais. Uma campanha ativa deste grupo na LATAM representaria comprometimento silencioso e de longa duração de acessos VPN corporativos. ## Attack Flow e Técnicas Observadas ```mermaid graph TB A["🔍 Reconhecimento Varredura de Ivanti VPN Shodan/Censys"] --> B["💥 Exploração Inicial CVE-2023-46805 Auth Bypass CVE-2024-21887 RCE"] B --> C["🐛 Implantação SPAWN SPAWNANT installer PHASEJAM dropper"] C --> D["🔒 Persistência Profunda SPAWNSNAIL SSH backdoor SPAWNMOLE SOCKS5 tunnel"] D --> E["🧹 Evasão SPAWNSLOTH log tampering Sobrevive factory reset"] E --> F["📤 Exfiltração DRYHOOK credential harvest Acesso VPN de longo prazo"] classDef recon fill:#1a1a2e,color:#e0e0ff,stroke:#4a4a8a classDef exploit fill:#7b1c1c,color:#fff,stroke:#a02020 classDef implant fill:#1c4a7b,color:#fff,stroke:#1a5fa0 classDef persist fill:#1c7b4a,color:#fff,stroke:#1a9a5a classDef evade fill:#7b5c1c,color:#fff,stroke:#a07a1a classDef exfil fill:#6b1c7b,color:#fff,stroke:#8a1a9a class A recon class B exploit class C implant class D persist class E evade class F exfil ``` | Técnica | ID | Uso | |---------|-----|-----| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Ivanti CVE-2023-46805, CVE-2024-21887, CVE-2025-0282 | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | PHASEJAM dropper no appliance | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | DRYHOOK extrai credenciais de VPN | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads cifrados nos firmwares | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | SPAWNMOLE - túnel SOCKS5 sobre HTTPS | ## Ecossistema de Malware SPAWN O UNC5337 utiliza uma suíte de malware modular denominada família **SPAWN**, composta por ferramentas complementares: ```mermaid graph TB subgraph SPAWN["Família SPAWN - Ecossistema de Persistência"] A["SPAWNANT Instalador modular Coordena implantação"] --> B["SPAWNSNAIL Backdoor SSH passivo Persiste em firmware"] A --> C["SPAWNMOLE Túnel SOCKS5 Proxy encoberto"] A --> D["SPAWNSLOTH Log tampering Remove rastros"] end E["PHASEJAM Web shell dropper Acesso inicial"] --> A F["DRYHOOK Credential harvester Coleta senhas VPN"] --> G["Exfiltração Credenciais e dados"] classDef spawn fill:#0d3b4f,color:#7dd3fc,stroke:#0ea5e9 classDef drop fill:#4f0d1a,color:#fca5a5,stroke:#ef4444 classDef exfil fill:#4f3d0d,color:#fde68a,stroke:#f59e0b class A,B,C,D spawn class E drop class F,G exfil ``` - **SPAWNANT** - instalador modular que coordena a implantação dos demais componentes SPAWN - **SPAWNSNAIL** - backdoor SSH passivo persistente no firmware do appliance - **SPAWNMOLE** - tunel SOCKS5 para comunicação C2 encoberta via HTTPS - **SPAWNSLOTH** - ferramenta de manipulação de logs para remoção de rastros de atividade - **PHASEJAM** - web shell dropper que fornece acesso inicial ao sistema - **DRYHOOK** - coletor de credenciais que extrai senhas de sessões VPN ativas ## CVEs Explorados | CVE | CVSS | Tipo | Produto | |-----|------|------|---------| | [[cve-2023-46805\|CVE-2023-46805]] | 8.2 | Auth Bypass | Ivanti Connect Secure | | [[cve-2024-21887\|CVE-2024-21887]] | 9.1 | RCE (post-auth) | Ivanti Connect Secure | | [[cve-2025-0282\|CVE-2025-0282]] | 9.0 | Stack Buffer Overflow | Ivanti Connect Secure/Policy Secure | Os três CVEs foram utilizados em encadeamento: CVE-2023-46805 para bypassar autenticação e CVE-2024-21887 para executar comandos remotos como root. CVE-2025-0282 foi adicionado ao arsenal em campanhas mais recentes (janeiro 2025), com o CISA adicionando ao KEV em 8 de janeiro de 2025. ## Relevância para o Brasil e LATAM > [!latam] > Ivanti Connect Secure é amplamente utilizado em organizações governamentais, financeiras e de telecomúnicações no Brasil e América Latina. Uma campanha ativa do UNC5337 na região representaria comprometimento silencioso e duradouro de acessos VPN críticos. A capacidade do SPAWN de sobreviver a redefinições de fábrica é particularmente alarmante para o contexto LATAM, onde processos de resposta a incidentes frequentemente incluem o reset do appliance como medida de erradicação. Organizações que operam Ivanti Connect Secure e executaram factory reset após os alertas de 2024 podem ainda estar comprometidas. O setor [[telecommunications|telecomúnicações]] brasileiro e o [[government|governo]] federal utilizam soluções VPN como Ivanti em infraestruturas críticas - alvos históricos do UNC5337 e UNC5221. ## Detecção e Mitigação Detecção via monitoramento de: - Processos filhos anômalos do serviço `dsupgrade` do Ivanti - Arquivos desconhecidos no diretório `/data/pkg/` do appliance - Tráfego SOCKS5 saindo de appliances VPN - Modificações nos logs do sistema após atualizações de firmware Mitigação prioritária: 1. Aplicar patches para CVE-2025-0282 imediatamente (CISA KEV) 2. Executar a **Integrity Checker Tool** da Ivanti (não confiar apenas em factory reset) 3. Monitorar [[m1016-vulnerability-scanning|varredura de vulnerabilidades]] e patches de appliances de borda 4. Implementar [[m1042-disable-or-remove-feature-or-program|desabilitação de funcionalidades]] não essenciais nos appliances ## Referências - [1](https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation) Mandiant - Investigating Ivanti Zero-Day Exploitation (2024) - [2](https://www.mandiant.com/resources/blog/suspected-unc5337-ivanti-connect-secure-zero-days) Mandiant - UNC5337 Ivanti Connect Secure SPAWN Malware (2025) - [3](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) CISA KEV - CVE-2025-0282 (2025) - [4](https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/) Volexity - Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure (2024)