ghostknife - RunkIntel

# GHOSTKNIFE > [!critical] Backdoor iOS da Operação DarkSword - UNC6748 > GHOSTKNIFE é um backdoor JavaScript avançado para dispositivos iOS, implantado pelo grupo **UNC6748** como parte da operação DarkSword. Explora uma cadeia de seis vulnerabilidades zero-day para comprometer iPhones sem interação do usuário, com foco em alvos de alto valor no Oriente Médio. Integra o kit iOS com [[ghostblade|GHOSTBLADE]] e GHOSTSABER. ## Visão Geral GHOSTKNIFE é um backdoor para iOS descoberto em novembro de 2025 pelos pesquisadores da Mandiant, associado ao grupo de ameaça persistente avançada [[unc6748]], rastreado em colaboração com [[unc6353]]. O malware é parte do kit de exploração DarkSword, uma infraestrutura sofisticada que encadeia até seis vulnerabilidades zero-day para obter controle total sobre dispositivos Apple sem qualquer interação da vítima (zero-click). O vetor de infecção primário é o domínio `snapshare[.]chat`, uma plataforma de compartilhamento de fotos falsa projetada para atrair alvos específicos de alto valor. Quando a vítima acessa o link malicioso via Safari no iPhone, a cadeia de exploits é silenciosamente executada - um ataque zero-click característico de operações de espionagem estatal sofisticadas. GHOSTKNIFE representa uma das primeiras implementações conhecidas de backdoor iOS baseado em JavaScript com protocolo de comunicação binário criptografado via ECDH+AES, tornando a detecção por soluções tradicionais extremamente difícil. O foco em alvos do Oriente Médio (especialmente Arábia Saudita) sugere motivação de espionagem estatal ou comercial patrocinada por Estado. Junto com [[ghostblade|GHOSTBLADE]] (backdoor macOS) e GHOSTSABER, forma um kit de exploração multiplataforma da família DarkSword. ## Como Funciona GHOSTKNIFE utiliza uma arquitetura de duas etapas: exploração via cadeia de zero-days seguida de implantação do backdoor JavaScript persistente. **Cadeia de exploração DarkSword:** 1. Vítima recebe link para `snapshare[.]chat` via mensagem social direcionada 2. Safari carrega página que executa seis CVEs encadeados, incluindo [[cve-2025-31277|CVE-2025-31277]], [[cve-2025-43529|CVE-2025-43529]] e [[cve-2026-20700|CVE-2026-20700]] 3. Escape do sandbox WebKit e escalada de privilégios no iOS 4. Implantação silenciosa do GHOSTKNIFE como processo persistente **Capacidades de vigilância do backdoor:** - Exfiltração de contas e contatos armazenados no dispositivo - Captura de mensagens (SMS, iMessage, aplicativos de terceiros) - Acesso a histórico e cookies do navegador Safari - Rastreamento de localização GPS em tempo real - Gravação de áudio via microfone e captura de vídeo pela câmera - Keylogging e acesso a arquivos de aplicativos locais **Comúnicação C2:** O GHOSTKNIFE implementa um protocolo binário proprietário sobre HTTP, criptografado com ECDH para troca de chaves e AES para cada mensagem individualmente. Este design impede a decodificação por ferramentas de análise de tráfego padrão, mesmo quando HTTPS é interceptado, tornando o backdoor extremamente furtivo. ## Attack Flow ```mermaid graph TB A["🎯 Alvo de Alto Valor Oriente Médio Arábia Saudita"] --> B["📨 Link Malicioso snapshare chat via mensagem social"] B --> C["🌐 Acesso Safari Zero-click no navegador iOS"] C --> D["💥 Cadeia de 6 CVEs CVE-2025-31277 CVE-2025-43529"] D --> E["🔓 Escape WebKit Sandbox bypass iOS sem interação"] E --> F["⬆️ Escalada Privilégios root no dispositivo"] F --> G["🗡️ Implantação GHOSTKNIFE JS Backdoor persistente"] G --> H["👁️ Vigilância Total Contas, mensagens localização, audio"] H --> I["📤 Exfiltração Protocolo binário ECDH+AES C2"] ``` **Legenda:** [[unc6748]] · [[cve-2025-31277|CVE-2025-31277]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1437-application-layer-protocol|T1437]] ## Timeline ```mermaid timeline title GHOSTKNIFE - Linha do Tempo 2025-11 : Descoberta inicial : Mandiant identifica GHOSTKNIFE : Análise do kit DarkSword 2025-11 : Infraestrutura revelada : snapshare chat identificado : UNC6748 atribuído como operador 2025-12 : Análise técnica completa : 6 CVEs documentados : Protocolo ECDH+AES descrito 2026-01 : Resposta coordenada : Apple lança patches emergenciais : CISA alerta sobre zero-days iOS 2026-03 : Monitoramento contínuo : UNC6353 como segundo operador : Expansão de alvos investigada ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Cadeia de 6 CVEs via WebKit/Safari | | Application Layer Protocol | [[t1437-application-layer-protocol\|T1437]] | Protocolo binário proprietário sobre HTTP | | Archive Collected Data | [[t1532-archive-collected-data\|T1532]] | Dados comprimidos antes da exfiltração | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de entrada em aplicativos | | Video Capture | [[t1125-video-capture\|T1125]] | Acesso à câmera do dispositivo | | Access Stored Application Data | [[t1409-access-stored-application-data\|T1409]] | Extração de dados de apps terceiros | | Location Tracking | [[t1430-location-tracking\|T1430]] | Rastreamento GPS em tempo real | ## Relevância para o Brasil e LATAM > [!latam] iOS Corporativo no Brasil: Alvo de Kits de Espionagem Estatal > O Brasil é um dos maiores mercados de **smartphones** da LATAM, com alta penetração de **iOS** no mercado corporativo e governamental. Executivos e diplomatas brasileiros com relações comerciais no Oriente Médio são alvos potenciais de espionagem cruzada. A técnica **zero-click** é especialmente preocupante para organizações do **governo** e do setor **financeiro** que usam iPhones como dispositivos corporativos padrão. Embora o foco principal da operação DarkSword sejam alvos no Oriente Médio, o GHOSTKNIFE representa uma ameaça relevante para o Brasil e América Latina: **Perfil de risco:** - Executivos e diplomatas brasileiros com relacionamentos comerciais no Oriente Médio representam alvos potenciais de espionagem cruzada - Empresas do setor [[energy|energia]] (petróleo e gás) com operações na região são alvos históricos de grupos como [[unc6748]] - A técnica de zero-click em iOS é especialmente preocupante para organizações do [[government|governo]] brasileiro e do setor [[financial|financeiro]] que utilizam iPhones como dispositivos corporativos padrão **Implicações regulatórias:** - A [[lgpd|LGPD]] exige notificação de incidentes que envolvam comprometimento de dispositivos móveis com dados de brasileiros - O CERT.br públicou alertas sobre kits de exploração iOS em 2025-2026, recomendando atualização imediata **Contexto regional:** - O Brasil é um dos maiores mercados de smartphones da América Latina, com alta penetração de iOS no mercado corporativo e governamental - Grupos de espionagem como [[unc6748]] têm expandido alvos além do Oriente Médio para incluir líderes de opinião e executivos em economias emergentes ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - GHOSTKNIFE/DarkSword (TLP:GREEN) > **Domínio de distribuição:** > `snapshare[.]chat` > > **Protocolo de rede anômalo:** > Tráfego HTTP binário com handshake ECDH incomum em dispositivos iOS > Requisições Safari com padrão de headers fora do normal > > **Comportamento no dispositivo:** > Processo JavaScript com privilégios elevados persistente > Acesso não autorizado a microfone, câmera, GPS em background > > **Fonte:** [Mandiant DarkSword Report](https://www.mandiant.com) · [Apple Security Advisory](https://support.apple.com/security) **Recomendações de defesa:** - Manter iOS atualizado (patches para CVE-2025-31277 e CVE-2025-43529 disponíveis desde ján/2026) - Implementar MDM com detecção de comportamento anômalo em dispositivos móveis corporativos - Monitorar tráfego de rede de dispositivos iOS para protocolos binários não reconhecidos - Revisar permissões de aplicativos regularmente (câmera, microfone, localização) - Ativar modo Lockdown no iOS para executivos e alvos de alto risco ## Referências - [1](https://www.mandiant.com) Mandiant - GHOSTKNIFE and the DarkSword iOS Exploit Kit (2025) - [2](https://support.apple.com/security) Apple Security Advisory - Multiple iOS Zero-Day Vulnerabilities CVE-2025-31277 (2026) - [3](https://www.cisa.gov) CISA - Alert on iOS Zero-Day Exploitation by Nation-State Actors (2026) - [4](https://attack.mitre.org/groups/G1043/) MITRE ATT&CK - UNC6748 Group Profile - [5](https://www.bleepingcomputer.com) BleepingComputer - DarkSword iOS kit targets Middle East high-value targets (2025) - [6](https://www.therecord.media) The Record - Zero-click iOS backdoor GHOSTKNIFE discovered targeting Saudi Arabia (2025)