# GhostNet > Tipo: **rede de espionagem / RAT** · S0032 · [MITRE ATT&CK](https://attack.mitre.org/software/S0032) ## Descrição [[s0032-ghostnet|GhostNet]] foi uma operação de ciberespionagem de grande escala descoberta em 2009 pelo Citizen Lab da Universidade de Toronto, que revelou uma rede de mais de 1.295 computadores comprometidos em 103 países. A infraestrutura central baseava-se no [[s0032-ghostnet|gh0st RAT]] (Remote Access Tool), um trojan de acesso remoto de código aberto de origem chinesa amplamente utilizado em operações de espionagem do início dos anos 2000. A operação visava organizações governamentais, embaixadas, think tanks, ONGs e organizações tibetanas, com foco particular em alvos associados ao Dalai Lama e ao movimento de independência tibetano. O [[s0032-ghostnet|gh0st RAT]] providencia capacidades completas de vigilância remota: acesso à webcam e microfone, captura de tela e keylogging em tempo real, acesso completo ao sistema de arquivos, e a capacidade de abrir sessões de shell remotas. O malware se comúnica com servidores C2 através de protocolos customizados e usa um identificador único de 5 bytes "Gh0st" no início de cada pacote - característica que facilitou sua detecção e análise. Apesar de ter código-fonte disponível públicamente, diferentes grupos usaram versões customizadas e renomeadas do gh0st RAT em suas operações. O legado do [[s0032-ghostnet|GhostNet]] é significativo: a operação demonstrou pela primeira vez em escala massiva o uso de ciberespionagem patrocinada por estado contra alvos não-militares em múltiplos países simultaneamente. O código-fonte do gh0st RAT continua sendo base para derivados utilizados até hoje por múltiplos grupos de espionagem, tornando o estudo desta família de malware relevante para entendimento de ameaças atuais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Detecção > [!tip] Indicadores de Detecção > - Detectar derivados do gh0st RAT através do identificador "Gh0st" ou variantes em payloads de rede > - Monitorar comúnicações para IPs/domínios associados a infraestrutura C2 de gh0st RAT > - Alertar sobre processos que acessam microfone, webcam e realizam screenshots simultaneamente > - Verificar conexões de rede persistentes com padrões de protocolo não-padrão > - Implementar regras de detecção baseadas em strings características do gh0st RAT em PCAP ## Relevância LATAM/Brasil O [[s0032-ghostnet|gh0st RAT]] continua sendo uma das famílias de malware mais detectadas globalmente, com inúmeras variantes em circulação. No Brasil, variantes do gh0st RAT são utilizadas por operadores locais e internacionais em ataques a organizações governamentais e empresas. A operação GhostNet demonstrou que organizações brasileiras com presença internacional e posições políticas independentes podem ser alvos de espionagem patrocinada por estado. O uso histórico do gh0st RAT em campanhas contra movimentos sociais e organizações de direitos humanos é relevante para ONGs e movimentos sociais brasileiros que trabalham em questões politicamente sensíveis. ## Referências - [MITRE ATT&CK - S0032](https://attack.mitre.org/software/S0032) - [Citizen Lab - GhostNet Report](https://www.citizenlab.ca/2009/03/tracking-ghostnet-investigating-a-cyber-espionage-network/)