s1218-virtualpie - RunkIntel

# VIRTUALPIE > Tipo: **malware** · S1218 · [MITRE ATT&CK](https://attack.mitre.org/software/S1218) ## Descrição [[s1218-virtualpie|VIRTUALPIE]] é um backdoor leve escrito em Python que cria um listener IPv6 em servidores VMware ESXi, oferecendo capacidades de execução de comandos, transferência de arquivos e reverse shell. O malware está em uso desde pelo menos 2022 pelo grupo [[g1048-unc3886|UNC3886]], que o instalou por meio de vSphere Installation Bundles (VIBs) maliciosos - um método de persistência sofisticado que abusa do mecanismo legítimo de extensão do hypervisor VMware. A instalação via VIBs maliciosos é especialmente preocupante porque VIBs são pacotes de software de baixo nível que integram diretamente ao kernel ESXi, garantindo ao malware persistência profunda e difícil remoção. O VIRTUALPIE utiliza IPv6 para seu listener, potencialmente evitando monitoramento de rede que foca apenas em tráfego IPv4, e usa criptografia simétrica para proteger suas comúnicações. A capacidade de transferência lateral de ferramentas permite ao operador expandir o comprometimento para outros servidores ESXi na mesma infraestrutura de virtualização. O [[g1048-unc3886|UNC3886]] é um grupo APT de espionagem com forte foco em dispositivos de virtualização e appliances de segurança de rede - alvos que frequentemente operam com menos controles de segurança do endpoint que workstations e servidores convencionais. A combinação de VIRTUALPIE com [[s1217-virtualpita|VIRTUALPITA]] (outro backdoor ESXi) demonstra o investimento do grupo em capacidades específicas para ambientes VMware. **Plataformas:** ESXi ## Técnicas Utilizadas - [[t1059-006-python|T1059.006 - Python]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1505-006-vsphere-installation-bundles|T1505.006 - vSphere Installation Bundles]] - [[t1059-012-hypervisor-cli|T1059.012 - Hypervisor CLI]] ## Grupos que Usam - [[g1048-unc3886|UNC3886]] ## Detecção A detecção do VIRTUALPIE requer auditoria regular de VIBs instalados em hosts ESXi para identificar pacotes não assinados ou de fontes não confiáveis (`esxcli software vib list`). Monitorar listeners de rede IPv6 em servidores ESXi, auditar processos Python em execução no hypervisor e analisar tráfego em portas não padrão são indicadores relevantes. A VMware públicou orientações de hardening de ESXi que incluem controles sobre a instalação de VIBs. ## Relevância LATAM/Brasil Organizações brasileiras com infraestrutura VMware ESXi - especialmente data centers, provedores de cloud privada e grandes corporações - são potencialmente vulneráveis a técnicas de comprometimento de hypervisor como as utilizadas pelo [[g1048-unc3886|UNC3886]]. A crescente adoção de virtualização VMware no Brasil torna este vetor de ameaça cada vez mais relevante. Políticas de controle rigoroso de VIBs instalados e auditorias periódicas da integridade do hypervisor são controles essenciais para ambientes VMware de alto risco. ## Referências - [MITRE ATT&CK - S1218](https://attack.mitre.org/software/S1218)