# GHOSTSPIDER > Tipo: **backdoor modular multi-estagio** · Desenvolvido por [[earth-estries|Earth Estries]] (Salt Typhoon) · Descoberto em novembro 2024 pelo Trend Micro ## Visão Geral [[ghostspider|GHOSTSPIDER]] e um backdoor modular sofisticado desenvolvido e utilizado pelo [[earth-estries|Earth Estries]] (também rastreado como [[g1045-salt-typhoon|Salt Typhoon]], GhostEmperor, FamousSparrow e UNC2286), um dos grupos APT chineses mais agressivos ativos desde 2020. O malware foi descoberto pelos pesquisadores Leon M Chang, Theo Chen, Lenart Bermejo e Ted Lee do Trend Micro em novembro de 2024, durante análise da campanha denominada "Beta" - uma operação de espionagem de longo prazo contra empresas de telecomúnicacoes e entidades governamentais no Sudeste Asiatico. O GHOSTSPIDER e projetado para operações de espionagem de longa duracao que exigem alto nivel de furtividade. Sua arquitetura modular permite ao operador carregar funcionalidades específicas sob demanda sem expor capacidades completas em um único implante - principio de minima exposicao que dificulta análise forense e atribuicao. O backdoor opera exclusivamente em memoria, sem persistência de módulos em disco, reduzindo drasticamente a superficie de artefatos detectaveis por ferramentas EDR. A comunicação com os servidores de C2 utiliza protocolo customizado protegido por TLS (Transport Layer Security) sobre HTTPS, fazendo com que o trafego malicioso se mescle com conexoes HTTPS legitimas de negocio. O GHOSTSPIDER suporta cinco tipos de comandos: Upload (carrega e executa módulo malicioso), Creaté (inicializa recursos do módulo), Normal (executa função primaria do módulo - exfiltração, manipulação de dados), Close (remove módulo ativo da memoria) e Updaté (ajusta comportamento de comunicação para evasão) e Heartbeat (sinaliza disponibilidade ao C2). A presenca do GHOSTSPIDER em campanhas contra mais de 20 organizacoes em 14 paises - incluindo empresas de telecomúnicacoes nos EUA (Verizon, AT&T, Lumen Technologies, T-Mobile) - indica capacidade operacional de escala global. O Trend Micro documentou que o [[earth-estries|Earth Estries]] e uma organização com divisao clara de trabalho, com diferentes equipes responsaveis por diferentes backdoors e regioes geograficas. **Plataformas:** Windows ## Como Funciona O GHOSTSPIDER implementa uma cadeia de infecção multi-estagio com separacao rigorosa de componentes: 1. **Acesso inicial via N-day em dispositivos de borda** - O [[earth-estries|Earth Estries]] explora vulnerabilidades N-day em equipamentos expostos públicamente: CVE-2023-46805 e CVE-2024-21887 (Ivanti Connect Secure), CVE-2023-48788 (Fortinet FortiClient EMS), CVE-2022-3236 (Sophos Firewall), CVE-2021-26855/26857/26858/27065 (Microsoft Exchange ProxyLogon) 2. **Movimento lateral via LOLBINs** - Após acesso inicial, uso de `WMIC.exe` e `PSEXEC.exe` para movimentação lateral dentro da rede sem deixar artefatos customizados que disparem alertas 3. **Deploy do stager via DLL hijacking** - O stager e implantado por meio de DLL search order hijacking (`T1574.001`) e registrado como servico Windows via `regsvr32.exe` - ferramenta legitima do sistema que oculta o carregamento da DLL maliciosa 4. **Beacon loader carrega payload em memoria** - Módulo beacon loader secundario recebe payloads criptografados e os carrega diretamente em memoria sem escrita em disco, prevenindo detecção baseada em assinatura de arquivo 5. **Comúnicação C2 via HTTPS com TLS customizado** - Protocolo customizado sobre TLS; comunicação conceals-se em headers e cookies HTTPS para mimetizar trafego legitimo; servidor C2 e gerenciado por equipe de infraestrutura separada dos operadores do backdoor 6. **Execução modular sob demanda** - Operador envia comandos Upload/Creaté para injetar módulos específicos na memoria do processo; cada módulo executa uma tarefa discreta (exfiltração de arquivos, reconhecimento de rede, monitoramento de processos); módulos sao removidos via Close após conclusao da tarefa 7. **Operação conjunta com rootkit DEMODEX** - Em campanhas documentadas, o GHOSTSPIDER e implantado em conjunto com o rootkit [[demodex|DEMODEX]] para persistência de longo prazo; o DEMODEX garante que o GHOSTSPIDER sobreviva a reinicializacoes e permaneca oculto no kernel ```mermaid graph TB A["Acesso inicial<br/>N-day em VPN, Firewall, Exchange"] --> B["Movimento lateral<br/>WMIC.exe e PSEXEC.exe LOLBINs"] B --> C["DLL hijacking<br/>Stager registrado via regsvr32.exe"] C --> D["Beacon Loader<br/>Carrega payload criptografado em memoria"] D --> E["GHOSTSPIDER ativo<br/>Comúnicação TLS customizado via HTTPS"] E --> F["Módulos sob demanda<br/>Upload, Creaté, Normal, Close"] F --> G1["Exfiltração de dados<br/>Arquivos e credenciais via C2"] F --> G2["Reconhecimento<br/>Processos, rede, arquivos"] F --> G3["DEMODEX rootkit<br/>Persistência kernel-level"] ``` ## Timeline ```mermaid timeline title GHOSTSPIDER - Descoberta e Campanhas 2020 : Earth Estries ativo - ataques a gov e ISPs na Asia 2021 : Campanha Alpha - governo Taiwan e produtores quimicos : Uso de DEMODEX e SNAPPYBEE 2022 : Foco migrado para provedores de servicos e telecoms : N-day em equipamentos de borda como vetor primario 2023 : Ataques a consultorias e NGOs com contratos federais EUA 2024-01 : Comprometimento confirmado de Verizon, AT&T, Lumen nos EUA 2024-11 : Trend Micro descobre GHOSTSPIDER na Campanha Beta : Sudeste Asiatico - telecoms comprometidas por anos : Mais de 20 organizacoes em 14 paises identificadas : Brasil confirmado como pais com vitimas 2025 : Operacoes continuam - EUA confirma 8 grandes telecoms comprometidas : CISA emite advisory sobre Salt Typhoon ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso | |--------|---------|-----| | Acesso inicial | [[t1190-exploit-public-facing-application\|T1190]] | N-day em Ivanti, Fortinet, Sophos, Exchange | | Evasão | [[t1574-001-dll-search-order-hijacking\|T1574.001]] | Stager implantado via DLL hijacking | | Evasão | [[t1218-010-regsvr32\|T1218.010]] | regsvr32.exe registra servico malicioso | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads criptografados; módulos em memoria | | Persistência | [[t1543-003-windows-service\|T1543.003]] | Stager registrado como Windows Service | | Execução | [[t1055-001-dynamic-link-library-injection\|T1055.001]] | Beacon loader injeta módulos em memoria | | C2 | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Protocolo customizado sobre TLS | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTPS para mimetizar trafego legitimo | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Reconhecimento de sistema via módulos | | Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Listagem de arquivos e diretorios | | Coleta | [[t1005-data-from-local-system\|T1005]] | Exfiltração de arquivos locais | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados enviados via canal C2 TLS | ## Relevância LATAM/Brasil O Brasil figura explicitamente na lista de paises vitimas documentada pelo Trend Micro em novembro de 2024 - tornando o GHOSTSPIDER uma ameaça direta e confirmada ao territorio brasileiro, nao apenas teorica. - **Telecomúnicacoes brasileiras**: O [[earth-estries|Earth Estries]] tem foco declarado em operadoras de telecomúnicacoes; Claro (América Movil), Vivo (Telefonica), TIM e operadoras regionais sao alvos naturais dado o padrao historico do grupo - **ISPs e MSPs**: A cadeia de comprometimento do Earth Estries frequentemente passa por provedores de servico - MSPs brasileiros que gerenciam redes de clientes corporativos e governamentais sao vetores de entrada estratégicos - **Espionagem de comúnicacoes**: Nos EUA, o Salt Typhoon obteve acesso a sistemas de interceptação legal (CALEA); orgaos de segurança pública brasileiros e empresas com obrigações de retencao de dados de comunicação representam interesse equivalente - **Supply chain governamental**: O compromisso de um contratante de telecomúnicacoes brasileiro poderia fornecer acesso indireto a redes de governo federal e estadual ## Detecção - **Dispositivos de borda**: Priorizar patch management para Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall e Microsoft Exchange - vetores de acesso inicial documentados do Earth Estries - **LOLBINs**: Alertar sobre uso de `WMIC.exe` e `PSEXEC.exe` por processos nao-administrativos, especialmente originados de dispositivos de borda comprometidos - **regsvr32.exe**: Monitorar uso de `regsvr32.exe` para registrar DLLs de caminhos nao-padrao como Windows Service (`T1218.010` + `T1574.001`) - **Rede**: Detectar conexoes HTTPS com padroes de TLS atipicos (cipher suites incomuns, SNI inconsistente com certificado) de servidores de producao para endpoints externos desconhecidos - **Memoria**: Inspecionar processos com DLLs carregadas de caminhos temporarios ou anomalos; ferramentas com suporte a heap spray e reflective loading detection - **DEMODEX**: Verificar integridade de drivers de kernel; alertar sobre carregamento de drivers sem assinatura válida por processo do sistema ## Referências - [Trend Micro - Earth Estries GHOSTSPIDER (2024)](https://www.trendmicro.com/en_us/research/24/k/earth-estries.html) - [The Hacker News - Chinese Hackers GHOSTSPIDER Telecoms (2024)](https://thehackernews.com/2024/11/chinese-hackers-use-ghostspider-malware.html) - [BleepingComputer - Salt Typhoon GhostSpider Telcos (2024)](https://www.prsol.cc/2024/11/26/salt-typhoon-hackers-backdoor-telcos-with-new-ghostspider-malware/) - [The Register - Salt Typhoon Beyond US Telcos (2024)](https://www.theregister.com/2024/11/27/salt_typhoons_us_telcos/) - [IMDA Advisory - Salt Typhoon Backdoor (2024)](https://www.imda.gov.sg/-/media/imda/files/regulations-and-licensing/regulations/advisories/infocomm-media-cyber-security/salt-typhoon-targeting-telecommunications-with-new-backdoor.pdf) - [Rapid7 - Salt Typhoon Threat Report (2025)](https://www.rapid7.com/cdn/assets/bltd298d8dff66d1645/689afaec4c4b555713f0f2d2/2025-august-report-threat-focus-salt-typhoon.pdf)