# VIRTUALPITA > Tipo: **malware** · S1217 · [MITRE ATT&CK](https://attack.mitre.org/software/S1217) ## Descrição [[s1217-virtualpita|VIRTUALPITA]] é um backdoor passivo com variantes para ESXi e Linux vCenter, capaz de executar comandos, transferir arquivos, iniciar ou interromper processos, e realizar descoberta de máquinas virtuais em infraestrutura VMware comprometida. O malware está em uso desde pelo menos 2022 pelo grupo [[g1048-unc3886|UNC3886]], que utilizou vSphere Installation Bundles (VIBs) maliciosos para sua instalação silenciosa em hipervisores ESXi. O VIRTUALPITA é mais completo que seu companheiro [[s1218-virtualpie|VIRTUALPIE]]: além do backdoor passivo que aguarda conexões, possui capacidade de executar comandos administrativos ESXi nativos, desabilitar serviços de logging para impedir a criação de histórico de comandos, e mascarar seus processos e serviços para imitar componentes legítimos do VMware. O malware suporta transferência lateral de ferramentas para outros hosts ESXi, permitindo a expansão do comprometimento por toda a infraestrutura de virtualização de uma organização. A combinação de descoberta de VMs, controle de processos e capacidade de parar/iniciar serviços ESXi dá ao operador controle quase total sobre a infraestrutura virtualizada da vítima - incluindo a capacidade de afetar a disponibilidade de sistemas críticos hospedados no hypervisor. Este nível de acesso, mantido de forma persistente e furtiva via VIB malicioso, representa uma das ameaças mais sofisticadas para ambientes de virtualização empresarial. **Plataformas:** ESXi, Linux ## Técnicas Utilizadas - [[t1059-006-python|T1059.006 - Python]] - [[t1675-esxi-administration-command|T1675 - ESXi Administration Command]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1673-virtual-machine-discovery|T1673 - Virtual Machine Discovery]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1037-boot-or-logon-initialization-scripts|T1037 - Boot or Logon Initialization Scripts]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1562-003-impair-command-history-logging|T1562.003 - Impair Command History Logging]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] ## Grupos que Usam - [[g1048-unc3886|UNC3886]] ## Detecção A detecção do VIRTUALPITA exige monitoramento especializado de ESXi: auditoria de VIBs instalados, análise de scripts de inicialização do hypervisor, monitoramento de portas de rede abertas não documentadas em hosts ESXi, e verificação da integridade dos logs de shell ESXi. A presença de serviços mascarados com nomes similares a componentes VMware legítimos é um indicador de comprometimento. O Mandiant públicou indicadores de comprometimento (IoCs) e yara rules específicas para o VIRTUALPITA após sua descoberta. ## Relevância LATAM/Brasil A crescente adoção de VMware vSphere/ESXi em ambientes corporativos e governamentais brasileiros torna o vetor de ataque ao hypervisor cada vez mais relevante. Data centers brasileiros que hospedam infraestrutura crítica em VMware ESXi - incluindo sistemas financeiros, governamentais e de saúde - devem implementar auditorias regulares de integridade do hypervisor e políticas de controle de VIBs como parte de sua estratégia de segurança de virtualização. Incidentes de comprometimento de hypervisor têm impacto potencial catastrófico por afetarem múltiplos sistemas hospedados simultaneamente. ## Referências - [MITRE ATT&CK - S1217](https://attack.mitre.org/software/S1217)