# FreshCamel > Tipo: **backdoor** · [Mandiant Research](https://www.mandiant.com/) ## Descrição [[freshcamel|FreshCamel]] é um backdoor atribuído ao grupo UNC3524, um agente de ameaça de espionagem identificado pela Mandiant em 2022 com possível vinculação ao SVR russo (o mesmo serviço associado ao [[g0016-apt29|APT29]]). O malware é notável por ser implantado em dispositivos de rede e infraestrutura que geralmente não suportam soluções de segurança de endpoint, como switches de rede, câmeras IP e appliances de conferência - criando pontos de presença persistente práticamente invisíveis para ferramentas de EDR convencionais. O UNC3524 demonstrou capacidade de manter acesso a ambientes comprometidos por períodos excepcionalmente longos (mais de 18 meses documentados). O [[freshcamel|FreshCamel]] opera estabelecendo comunicação C2 via HTTP/HTTPS para infraestrutura controlada pelos atacantes, executando comandos shell e facilitando a transferência de ferramentas adicionais. O grupo UNC3524 utilizou o backdoor específicamente em dispositivos que executam versões customizadas de Linux ou sistemas operacionais proprietários de IoT/rede, onde a detecção baseada em comportamento é limitada. Esta estratégia de implantação em "blind spots" representa uma evolução significativa nas TTPs de espionagem avançada. O foco do UNC3524 em alvos corporativos com acesso a informações financeiras estratégicas - M&A (fusões e aquisições), finanças corporativas e operações de câmbio - sugere motivação de espionagem econômica de alto valor. A capacidade de permanecer indetectável por meses em redes corporativas de alto perfil demonstra o nível de sofisticação operacional do grupo. **Plataformas:** Linux (dispositivos de rede e IoT), Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Detecção > [!tip] Indicadores de Detecção > - Implementar monitoramento de tráfego de rede de dispositivos de infraestrutura (switches, roteadores, câmeras IP) - especialmente conexões de saída incomuns > - Verificar integridade de firmware em dispositivos de rede usando hashes de referência do fabricante > - Monitorar logs de autenticação em dispositivos de rede para acessos de IPs ou horários incomuns > - Implementar segmentação de rede isolando dispositivos IoT e de infraestrutura > - Considerar solução de Network Detection and Response (NDR) para visibilidade em tráfego de dispositivos sem EDR ## Relevância LATAM/Brasil A estratégia do UNC3524 de comprometer dispositivos de infraestrutura de rede é altamente relevante para o Brasil, onde muitas organizações possuem dispositivos de rede com firmware desatualizado e sem monitoramento de segurança dedicado. Bancos brasileiros, empresas de infraestrutura crítica e multinacionais com operações no Brasil são alvos potenciais de grupos de espionagem econômica com o perfil do UNC3524. O foco em informações de M&A e finanças corporativas é particularmente preocupante dado o volume de transações de fusões e aquisições no mercado brasileiro. ## Referências - [Mandiant - UNC3524: Eye Spy on Your Email](https://www.mandiant.com/resources/blog/unc3524-eye-spy-email)