gh0st-rat - RunkIntel

# gh0st RAT > [!high] RAT de Código Aberto com 16 Anos de Operação Contínua > gh0st RAT é um dos RATs mais duradouros da história do cibercrime, com código-fonte público desde 2008 e variantes ativas em 2025. Usado por pelo menos 10 grupos APT - incluindo **APT41**, **Kimsuky** e **Leviathan** - a disponibilidade irrestrita do código criou um ecossistema de variantes personalizadas que alimentam campanhas de espionagem e crime cibernético globalmente. ## Visão Geral gh0st RAT (MITRE S0032, aliases Mydoor e Moudoor) é uma ferramenta de acesso remoto originalmente desenvolvida pelo grupo chinês C.Rufus Security Team e lançada públicamente em 2008. A liberação do código-fonte foi o evento mais impactante na história do RAT: a partir dali, dezenas de grupos APT, atores de nível médio e operadores criminosos passaram a criar suas próprias variantes - cada uma com configurações de protocolo C2 personalizadas, capacidades adicionais e mecanismos de evasão únicos. O MITRE ATT&CK S0032 documenta o gh0st RAT como uma ferramenta utilizada por 10 grupos distintos, incluindo [[g0096-apt41|APT41]], [[g0094-kimsuky|Kimsuky]], [[g0065-leviathan|Leviathan]], [[g0138-andariel|Andariel]] e [[g0026-apt18|APT18]]. A característica técnica mais distintiva do gh0st RAT é seu protocolo C2 proprietário sobre TCP, identificável pelo "magic word" nos primeiros bytes do pacote - tipicamente a string "Gh0st" ou variantes customizadas como "HEART", "HTTPS", "KuGou" ou "Adobe". Esta assinatura de protocolo permite detecção de rede relativamente direta em variantes não-customizadas, mas grupos sofisticados como [[g0096-apt41|APT41]] usam variantes com magic words personalizados e criptografia RC4 modificada, dificultando consideravelmente a identificação. O payload é comprimido com Zlib antes da criptografia, e uma DLL de plugin adicional é carregada do servidor C2 para expandir capacidades. Em 2024 e 2025, pesquisadores da Virus Bulletin, Unit 42 (Palo Alto) e Elastic documentaram múltiplas campanhas ativas usando variantes do gh0st RAT. A Unit 42 identificou duas campanhas interconectadas ao longo de 2025 usando mais de 2.000 domínios maliciosos para distribuir variantes do gh0st RAT via MSI com DLL sideloading. A Elastic documentou o RONINGLOADER (atribuído ao Dragon Breath/APT-Q-27) usando o driver `truesight.sys` para bypass de EDR. Estas campanhas confirmam que o gh0st RAT permanece uma ameaça ativa com infraestrutura renovada, apesar de suas origens em 2008. A relevância do gh0st RAT para defensores vai além das detecções de assinatura: o mapeamento das variantes e dos magic words C2 permite fingerprinting de atores específicos, já que grupos diferentes mantêm consistência em suas configurações de protocolo ao longo do tempo. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) / implant de espionagem | | **Linguagem** | C++ (código-fonte público) | | **Primeira versão** | 2008 (gh0st RAT Beta 3.6 última versão pública) | | **Status** | Ativo - variantes amplamente distribuídas | | **MITRE ID** | S0032 | | **Plataformas** | Windows, macOS | | **Porta C2 padrão** | TCP 80, 8080, 443 (configurável) | ## Como Funciona **Entrega por spear-phishing ou engenharia social:** O gh0st RAT é distribuído via spear-phishing com documentos maliciosos, arquivos ZIP enviados por DingTalk, Telegram ou outros mensageiros, e instaladores MSI ou EXE trojanizados se passando por software legítimo (VPNs, ferramentas AI, aplicativos de jogos). Em campanhas recentes, instaladores MSI com 43+ ações customizadas camuflam a execução do malware entre operações MSI legítimas. **DLL sideloading para execução furtiva:** Variantes modernas usam DLL sideloading: um executável legítimo e assinado (ex: `wsc_proxy.exe` da Avast, `inkform.exe`, binários do KuGou) é copiado com uma DLL maliciosa. Quando o executável é iniciado, carrega a DLL maliciosa via hijack de ordem de carregamento, decifra e executa o payload gh0st RAT em memória. **Protocolo C2 proprietário identificável:** O malware estabelece canal TCP com o servidor C2, usando magic word nos primeiros bytes do pacote (ex: `\x47\x68\x30\x73\x74` = "Gh0st" na versão padrão). O tráfego é comprimido com Zlib e criptografado com RC4 ou variante customizada. Grupos sofisticados usam strings próprias ("KuGou", "Adobe", "7hero") como fingerprint de sua variante. **Capacidades completas de espionagem:** Keylogging em tempo real, captura de tela, acesso à webcam e microfone, shell remoto, gerenciamento de arquivos, modificação de registro, enumeração de processos, transferência de arquivos. Variantes modernas também limpam logs de eventos Windows para cobrir rastros. **Persistência via serviço ou Run key:** O malware instala um serviço Windows ou adiciona uma chave Run no registro para sobreviver a reinicializações. Variantes avançadas verificam se o serviço já existe antes de instalar para evitar detecção por criação duplicada. ## Attack Flow ```mermaid graph TB A["Entrega MSI/EXE/ZIP Impersonation de software legítimo T1204.002 Malicious File"] --> B["DLL Sideloading Executável assinado + DLL maliciosa T1574.001 Hijack Execution"] B --> C["Decode + Decrypt payload Zlib decompression + RC4 T1140 Deobfuscate"] C --> D["Persistência Windows Service ou Run key T1543.003 / T1112"] D --> E["Limpa logs de eventos Event Log Wipe T1070.001 Anti-forensics"] E --> F["C2 via TCP custom protocol Magic word header RC4 cifrado T1095 Non-App Layer Protocol"] F --> G["Espionagem completa Keylog screenshots shell arquivos T1056.001 T1113 T1059"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef persist fill:#3498db,color:#fff classDef evasion fill:#27ae60,color:#fff classDef c2 fill:#8e44ad,color:#fff classDef collect fill:#2c3e50,color:#fff class A delivery class B,C exploit class D persist class E evasion class F c2 class G collect ``` ## Timeline ```mermaid timeline title gh0st RAT - 16 Anos de Variantes 2008 : Código-fonte público liberado : C.Rufus Security Team China 2010 : Uso documentado em campanhas APT chinesas : Alvos Tibet e Falun Gong 2013 : Star RAT variante customizada documentada : Base para ChimeraGh0st 2024 2016 : NetEaseX variante identificada : Linhagem ChimeraGh0st rastreada 2021 : Gh0stTimes BlackTech documentado : Protocolo C2 modificado 2023 : Dragon Breath RONINGLOADER : Driver truesight.sys bypass EDR 2024 : ChimeraGh0st campanha APAC : Alvo China Malaysia Singapore 2025 : Campanhas Unit42 dois mil domínios : DLL sideloading wsc_proxy.exe Avast 2025 : GodRAT Winnti APT41 : Alvo trading firms HK EAU Malaysia ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Execução | [[t1204-002-malicious-file\|T1204.002]] | Instaladores MSI/EXE trojanizados com iscas de software | | Evasão | [[t1574-001-dll\|T1574.001]] | DLL sideloading via executável legítimo assinado | | Evasão | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Decode Zlib + decrypt RC4 do payload em memória | | Evasão | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Limpeza de logs de eventos pós-comprometimento | | Persistência | [[t1543-003-windows-service\|T1543.003]] | Instalação como serviço Windows com nomes mascarados | | Persistência | [[t1112-modify-registry\|T1112]] | Chave Run no registro para sobreviver a reinicialização | | C2 | [[t1095-non-application-layer-protocol\|T1095]] | Protocolo TCP proprietário com magic word customizado | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | RC4 ou variante customizada para cifrar tráfego C2 | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging em tempo real | | Coleta | [[t1113-screen-capture\|T1113]] | Captura de telas periódica | | Descoberta | [[t1057-process-discovery\|T1057]] | Enumeração de processos ativos | ## Grupos que Usam - [[g0096-apt41|APT41]] (Winnti, Barium) - espionagem e crime financeiro global - [[g0094-kimsuky|Kimsuky]] (Thallium) - espionagem Norte-Coreana - [[g0065-leviathan|Leviathan]] (APT40) - espionagem marítima e naval - [[g0138-andariel|Andariel]] (Lazarus subgrupo) - operações Norte-Coreanas - [[g0026-apt18|APT18]] (Dynamite Panda) - espionagem chinesa - [[g0126-higaisa|Higaisa]] - Korea do Sul / China nexo - [[g0027-threat-group-3390|Threat Group-3390]] (APT27) - espionagem chinesa - [[g0062-ta459|TA459]] - campanha APAC phishing - [[g0001-axiom|Axiom]] - espionagem corporativa - [[g0011-pittytiger|PittyTiger]] - grupo APT francófono ## Relevância LATAM/Brasil O gh0st RAT é utilizado principalmente por APTs chineses e coreanos com objetivos de espionagem geopolítica e econômica. Embora o foco histórico tenha sido Ásia e Pacífico, grupos como o [[g0096-apt41|APT41]] e [[g0065-leviathan|Leviathan]] realizam operações contra setores de tecnologia, defesa e governo globalmente - incluindo organizações com operações na América Latina. Em 2025, a variante GodRAT (atribuída ao [[g0096-apt41|APT41]]) foi identificada atacando firmas de trading, corretoras e infraestrutura financeira em Hong Kong, Emirados Árabes e Malásia - setores com presença expressiva no Brasil. O ecossistema financeiro brasileiro (B3, grandes bancos, fintechs de investimento) se enquadra no perfil de alvos documentados. O código-fonte público do gh0st RAT também facilita sua adoção por grupos criminosos oportunistas sem sofisticação estatal, amplificando o risco de uso em campanhas direcionadas a organizações brasileiras de médio porte. ## Detecção **Fontes de dados recomendadas:** - **Rede - Magic Word Header:** Monitorar tráfego TCP com bytes iniciais `\x47\x68\x30\x73\x74` ("Gh0st") ou variantes customizadas (`HTTPS`, `HEART`, `7hero`, `Adobe`, `KuGou`). Signature zlib `\x78\x9c` em payloads TCP indica compressão pré-C2. - **Sysmon Event ID 3 (NetworkConnect):** Conexões TCP persistentes oriundas de `svchost.exe`, `rundll32.exe` ou `regsvr32.exe` para IPs externos - processo legítimo com conexão externa é sinal de process injection. - **Sysmon Event ID 7 (ImageLoad):** DLL sideloading - executável legítimo assinado carregando DLL maliciosa do mesmo diretório (padrões `wsc_proxy.exe`, `inkform.exe`, binários KuGou). - **Windows Security Event ID 1102 / System Event ID 104:** Limpeza de log de eventos de segurança - atividade pós-comprometimento característica do gh0st RAT. **Regras de detecção:** - Sigma: `net_connection_win_gh0strat_c2.yml` - detecção de magic words e padrões de protocolo TCP do gh0st RAT (SigmaHQ) - YARA: `RAT_Gh0st.yar` - strings internas, estruturas de protocolo e variantes conhecidas (Yara-Rules/rules) - Sigma: `sysmon_dll_sideloading_gh0st.yml` - padrão de DLL sideloading com driver `truesight.sys` (RONINGLOADER 2025) ## Referências - [1](https://attack.mitre.org/software/S0032/) MITRE ATT&CK - S0032 gh0st RAT - [2](https://unit42.paloaltonetworks.com/impersonation-campaigns-deliver-gh0st-rat/) Unit 42 - Anatomy of Evolving Impersonation Campaigns Distributing Gh0st RAT (2025) - [3](https://www.elastic.co/security-labs/roningloader) Elastic Security Labs - RONINGLOADER Dragon Breath APT-Q-27 (2025) - [4](https://securelist.com/godrat/117119/) Kaspersky Securelist - GodRAT Winnti/APT41 (2025) - [5](https://blogs.jpcert.or.jp/en/2021/10/gh0sttimes.html) JPCERT - Gh0stTimes Variant BlackTech (2021) - [6](https://www.virusbulletin.com/uploads/pdf/conference/vb2024/papers/Ghosts-from-the-past-become-Gh0stbusters-in-2024.pdf) Virus Bulletin - Ghosts from the Past: Gh0stbusters in 2024 (2024) - [7](https://www.zscaler.com/blogs/security-research/illusory-wishes-china-nexus-apt-targets-tibetan-community) Zscaler - GhostChat Operation targeting Tibetan Community (2025)