gh0st-rat - RunkIntel

# Gh0st RAT > [!danger] RAT Historico com Campanhas Ativas em 2025 - APT41, Kimsuky e Grupos China-Nexus > Gh0st RAT e um dos RATs mais longevos e ativamente usados na historia do ciberespionagem. Desenvolvido em 2008, seu código-fonte público permitiu que dezenas de grupos APT criassem variantes customizadas. Em 2025, a Unit 42 da Palo Alto Networks documentou duas campanhas em larga escala usando Gh0st RAT contra usuarios chineses (Campaign Trio com +2.000 dominios e Campaign Chorus impersonando 40+ apps), demonstrando que este malware historico continua sendo arma ativa de grupos nation-state. ## Visão Geral [[gh0st-rat|Gh0st RAT]] (MITRE S0032) e uma ferramenta de acesso remoto de origem chinesa com mais de 16 anos de historia ativa. Desenvolvido pelo grupo "C. Rufus Security Team" por volta de 2008, o Gh0st ganhou notoriedade quando seu código-fonte foi disponibilizado públicamente, permitindo que númerosos grupos APT criassem variantes personalizadas - fenomeno documentado como "ChimeraGh0st" por pesquisadores do VirusBulletin em 2024, onde variantes combinam código do Gh0st com outras fontes abertas. Grupos documentados usando Gh0st RAT incluem [[g0096-apt41|APT41]], [[g0094-kimsuky|Kimsuky]], [[g0065-leviathan|Leviathan]], [[g0027-threat-group-3390|Threat Group-3390]] e [[g0001-axiom|Axiom]] - um espectro que vai de espionagem nation-state chinesa até operações de coleta de informações da Coreia do Norte. Esta amplitude de adocao reflete a sofisticacao da arquitetura do Gh0st, que implementa comunicação C2 cifrada com RC4 e XOR, DLL side-loading, limpeza de event logs e capacidades completas de espionagem. Em 2025, a Unit 42 documentou dois grupos de campanhas interconectadas ("Campaign Trio" de fev-mar 2025 e "Campaign Chorus" de maio em diante) distribuindo Gh0st RAT via sites de impersonacao de software para usuarios de lingua chinesa - com infraestrutura de mais de 2.500 dominios registrados so entre fevereiro e maio de 2025. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) de espionagem | | **Linguagem** | C++ (Windows nativo) | | **Primeira versao** | 2008 (código-fonte público) | | **Status** | Ativo - variantes em campanhas ativas 2025 | | **MITRE ID** | S0032 | | **Plataformas** | Windows | | **C2 padrao** | TCP cifrado RC4/XOR, porta customizavel | | **Artefato** | Header `GH0ST` magic no payload de rede | ## Como Funciona **Entrega via impersonacao de software:** As campanhas documentadas pela Unit 42 em 2025 usam sites que imitam plataformas populares - VPNs, apps de IA como DeepSeek, ferramentas de gaming, apps corporativos - para fazer usuarios baixarem instaladores MSI trojanizados. Em Campaign Trio (fev-mar 2025), mais de 2.000 dominios serviram payloads de um servidor centralizado. **Infraestrutura MSI com custom actions:** O payload e entregue dentro de um MSI legitimo, onde a lógica maliciosa e um dos 43 custom actions. Isso esconde a execução maliciosa dentro de inumeras acoes legitimas do instalador, dificultando detecção estática e análise forense. **DLL side-loading (Campaign Chorus):** A variante mais recente usa `wsc_proxy.exe` da Avast (binario legitimo e assinado) para carregar DLL maliciosa via hijacking de execução (T1574.001) - técnica que permite evasão de EDRs modernos que confiam em processos com assinaturas válidas. **C2 cifrado proprietario:** Comúnicacoes C2 usam criptografia hibrida RC4 e XOR para mascarar trafego. O protocolo tem um header "magic" identificavel que foi documentado como fingerprint confiavel para detecção passiva em capturas de rede. **Limpeza de evidências:** Gh0st RAT possui capacidade nativa para apagar Windows Event Logs (T1070.001) e deletar arquivos (T1070.004), dificultando forense post-incident. Esta capacidade e especialmente relevante em operações de espionagem de longo prazo onde dwell time se mede em meses. **Modularidade e variantes:** A disponibilidade do código-fonte permitiu variantes como "ChimeraGh0st" que incorpora código de outros malwares open-source. O VirusBulletin 2024 apresentou métodologia para classificar variantes por areas de customizacao, auxiliando atribuicao técnica. ## Attack Flow ```mermaid graph TB A["🌐 Site Impersonacao Software popular ou IA +2000 dominios registrados"] --> B["📦 MSI Malicioso Custom action oculto Avast DLL sideload"] B --> C["💉 DLL Side-Loading wsc_proxy.exe legitimo T1574.001 Evasão EDR"] C --> D["📌 Persistência Registry Run Key Windows Service T1543.003"] D --> E["📡 C2 TCP Cifrado RC4 e XOR Header GH0ST magic"] E --> F["🕵 Espionagem Completa Keylog screenshots shell Limpeza event logs T1070"] F --> G["📤 Exfiltração Dados coletados para C2 Operação prolongada APT"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef evasion fill:#f39c12,stroke:#d68910,color:#fff classDef persist fill:#3498db,stroke:#1a5276,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef spy fill:#27ae60,stroke:#1e8449,color:#fff classDef exfil fill:#c0392b,stroke:#922b21,color:#fff class A delivery class B,C evasion class D persist class E c2 class F spy class G exfil ``` ## Timeline de Evolução ```mermaid timeline title Gh0st RAT - Persistência em Operacoes APT 2008 : Desenvolvimento inicial - C. Rufus Security Team : Código-fonte publico disponibilizado 2009 : Adocao por grupos APT chineses : Uso junto com Poison Ivy em espionagem 2014 : Leviathan usa Gh0st em espionagem naval : Campanhas contra defesa marinha EUA e Asia 2018 : APT41 incorpora Gh0st em toolkit multi-campanha : Uso em espionagem combinado com operacoes financeiras 2024 : Kimsuky adota Gh0st em campanhas espionagem : VirusBulletin documenta ChimeraGh0st - variante hibrida 2025 : Campaign Trio - 2000+ dominios impersonando software : Campaign Chorus - 40+ apps com DLL sideload via Avast : +2500 dominios criados so entre fevereiro e agosto 2025 ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | MSI malicioso entregue via site de impersonacao | | Acesso Inicial | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de apps públicos em algumas campanhas | | Execução | [[t1204-002-malicious-file\|T1204.002]] | Usuario executa MSI ou EXE trojanizado baixado | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Registry Run key para sobrevivencia a reboot | | Persistência | [[t1543-003-windows-service\|T1543.003]] | Cria novo servico Windows para persistência | | Evasão | [[t1574-001-dll-side-loading\|T1574.001]] | DLL sideload via wsc_proxy.exe da Avast (Campaign Chorus) | | Evasão | [[t1055-process-injection\|T1055]] | Injecao de código malicioso em processos criados | | Evasão | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Limpeza de event logs após operações sensiveis | | Evasão | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Adiciona exclusoes ao Windows Defender | | C2 | [[t1573-encrypted-channel\|T1573]] | Canal C2 cifrado com RC4 e XOR | | C2 | [[t1568-001-fast-flux-dns\|T1568.001]] | Dynamic DNS para mascarar localização real do C2 | | Descoberta | [[t1057-process-discovery\|T1057]] | Enumeracao de processos em execução | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta de arquitetura, processador, OS e hardware | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger nativo do Gh0st RAT | | Coleta | [[t1113-screen-capture\|T1113]] | Captura remota de tela em tempo real | ## Relevância LATAM/Brasil O Gh0st RAT representa uma ameaça indireta mas relevante para o Brasil e LATAM, principalmente via grupos APT que o utilizam: - **APT41 e setor de tecnologia:** O [[g0096-apt41|APT41]] tem historico de atacar empresas de tecnologia globalmente, incluindo setores de saúde, financeiro e gaming. Empresas brasileiras de tecnologia com operações globais estao no perfil de alvos desta campanha de espionagem combinada com crime. - **Kimsuky e espionagem diplomatica:** O [[g0094-kimsuky|Kimsuky]] (Norte Coreia) usa Gh0st em campanhas de espionagem diplomatica e de defesa. O Brasil, como membro do G20 e com posicoes diplomaticas de interesse geopolitico, pode ser alvo perifericamente em campanhas de coleta de inteligência. - **Infraestrutura de impersonacao global:** As campanhas de 2025 registraram infraestrutura global sem restricao geografica - qualquer usuario que baixe software de repositorios nao oficiais pode ser alvo independente de pais. - **Heranca técnica em RATs modernos:** O design do Gh0st influenciou diretamente RATs modernos usados em campanhas LATAM. Entender sua arquitetura (cifra RC4, DLL sideload, service persistence) ajuda analistas a identificar comportamentos similares em ameaças ativas na regiao. ## Detecção e Defesa **Artefatos forenses primarios:** - **Header magic em trafego de rede:** Conexoes TCP com header proprietario do Gh0st sao fingerprint confiavel em capturas de rede. Monitorar via PCAP em todos os destinos externos. - **`wsc_proxy.exe` com DLL suspeita:** Em variantes Campaign Chorus, o binario Avast carrega `wsc.dll` nao autenticada - inspecionar DLLs carregadas por processos de segurança de terceiros. - **Limpeza de event logs:** Clearing de System/Security event logs por processos nao administrativos indica Gh0st RAT em operação. **Event IDs prioritarios:** - **Sysmon Event ID 7 (ImageLoad):** `wsc_proxy.exe` carregando DLLs de caminhos nao-padrao. - **Sysmon Event ID 3 (NetworkConnect):** Conexoes TCP com header proprietario em portas nao-padrao. - **Windows Event ID 1102 / 4719:** Limpeza do security audit log - indicador de operação pos-comprometimento. - **Sysmon Event ID 13 (Registry):** Criação de Run key ou servico por processo suspeito. **Mitigacoes:** - Bloquear execução de MSI baixados de fontes nao verificadas - exigir assinatura de publisher confiavel. - Implementar AppLocker/WDAC para controlar DLLs carregadas por processos de segurança. - Monitorar DNS para registros contra listas de dominios de campanhas documentadas. - Alertar sobre processos legitimos carregando DLLs de diretorios de usuario ou temporarios. ## Referências - [1](https://attack.mitre.org/software/S0032/) MITRE ATT&CK S0032 - Gh0st RAT - [2](https://unit42.paloaltonetworks.com/impersonation-campaigns-deliver-gh0st-rat/) Unit 42 - Evolving Impersonation Campaigns Distributing Gh0st RAT (2025) - [3](https://www.virusbulletin.com/conference/vb2024/abstracts/ghosts-past-become-gh0stbusters-2024/) VirusBulletin 2024 - Ghosts from the Past: Become Gh0stbusters - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.gh0st_rat) Malpedia - Gh0st RAT malware family - [5](https://malwareandmonsters.com/im-handbook/resources/malmon-details/ghost-rat.html) Malware & Monsters - Gh0st RAT Technical Characteristics