maestro-toolkit - RunkIntel

# MAESTRO > [!danger] Resumo > Toolkit sofisticado de exploração de VMware ESXi que encadeia três vulnerabilidades zero-day para escape de máquinas virtuais e controle total do hypervisor, desenvolvido por atores de língua chinesa com compatibilidade para 155 builds do ESXi. ## Visão Geral O [[maestro-toolkit|MAESTRO]] é um orquestrador de exploits para VMware ESXi desenvolvido por atores de ameaça de língua chinesa, capaz de encadear três vulnerabilidades zero-day (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) para escapar do isolamento de máquinas virtuais e obter controle em nível de kernel do hypervisor. A análise de timestamps no código revela que o toolkit estava operacional desde **fevereiro de 2024** - mais de um ano antes da divulgação pública pela VMware em março de 2025. Artefatos de desenvolvimento incluem strings em chinês simplificado, notavelmente uma pasta chamada "**全版本逃逸–交付**" ("Escape de todas as versões - entrega"), indicando um desenvolvedor bem-financiado operando em região de língua chinesa. O toolkit demonstra compatibilidade com **155 builds diferentes do ESXi**, abrangendo versões 5.1 a 8.0, incluindo sistemas end-of-life. Esta amplitude sugere engenharia cuidadosa e testes extensivos. A presença de um README em inglês com instruções operacionais indica que o MAESTRO foi projetado para distribuição a compradores selecionados, não para comercialização pública. Em janeiro de 2026, a CISA adicionou as vulnerabilidades exploradas ao catálogo KEV. ## Capacidades Técnicas - **VM Escape completo**: Encadeamento de três CVEs para escape do sandbox VMX e acesso kernel ao hypervisor - **Desabilitação de drivers VMCI**: Enfraquecimento de verificações de integridade do kernel do SO guest - **Deploy de driver unsigned**: Técnicas Bring-Your-Own-Driver (BYOD) para bypass de enforcement de assinaturas - **Memory leak HGFS**: Vazamento de memória do processo VMX via Host-Guest File System para bypass de ASLR - **Exploração de clipboard/drag-and-drop**: Features de compartilhamento abusadas para escape do sandbox VMX - **VSOCKpuppet backdoor**: Backdoor persistente implantado via canal VSOCK (comunicação inter-VM oculta que evade monitoramento de rede tradicional) - **Compatibilidade ampla**: 155 builds ESXi (versões 5.1 a 8.0, incluindo EOL) - **Anti-forense**: Restauração de drivers desabilitados após estabelecer persistência ## Táticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | [[t1190-exploit-public-facing-application\|T1190]] | Credenciais VPN comprometidas (SonicWall) + zero-days ESXi | | Escalação | [[t1068-exploitation-for-privilege-escalation\|T1068]] | Cadeia de três CVEs para VM escape e kernel access | | Evasão | [[t1562-004-disable-or-modify-system-firewall\|T1562.004]] | Modificação de regras de firewall pós-comprometimento | | Execução | [[t1218-system-binary-proxy-execution\|T1218]] | Uso de componentes legítimos do hypervisor para execução | | Persistência | [[t1547-boot-or-logon-autostart-execution\|T1547]] | Driver unsigned para persistência no hypervisor | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Entrega de VSOCKpuppet backdoor e binários de exploit | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Artefatos de desenvolvimento em chinês, ofuscação de payloads | | Execução | [[t1059-004-unix-shell\|T1059.004]] | Comandos shell no hypervisor ESXi | ## Cadeia de Infecção 1. **Acesso inicial**: Credenciais VPN comprometidas (SonicWall observado em dezembro 2025) 2. **Movimentação lateral**: Domain Admin credentials para pivoting interno, modificação de regras de firewall 3. **MAESTRO deployment**: Toolkit implantado em VM guest com acesso ao ESXi 4. **Desabilitação VMCI**: Drivers VMCI desabilitados para enfraquecer verificações de integridade 5. **Driver exploit**: Driver unsigned implantado via BYOD para bypass de assinaturas 6. **Memory leak**: HGFS explorado para vazamento de memória VMX → bypass ASLR 7. **VM escape**: Exploits de clipboard/drag-and-drop encadeados para escape do sandbox VMX → acesso kernel 8. **VSOCKpuppet**: Backdoor persistente implantado via canal VSOCK oculto 9. **Controle do hypervisor**: Acesso completo ao hypervisor e todas as VMs hospedadas 10. **Exfiltração**: Dados staged e exfiltrados; drivers restaurados para reduzir evidências ## Vulnerabilidades Exploradas | CVE | Tipo | CVSS | Descrição | |-----|------|------|-----------| | CVE-2025-22224 | Memory Leak | - | Vazamento de memória para bypass de ASLR | | CVE-2025-22225 | Arbitrary Write | 8.2 | Escrita arbitrária para escape do sandbox VMX → kernel | | CVE-2025-22226 | OOB Write | - | Escrita fora dos limites para comprometimento | Todas adicionadas ao catálogo CISA KEV em janeiro de 2026. ## Atores Associados Atribuição a **ator de língua chinesa bem-financiado** baseada em: - Strings em chinês simplificado no código ("全版本逃逸–交付") - Sofisticação técnica e acesso a zero-days antes da divulgação pública - Timestamps indicando desenvolvimento desde fevereiro 2024 - README em inglês para distribuição a compradores selecionados O modelo de distribuição (compradores vetados, não comercialização pública) é consistente com ferramentas ofensivas de alto nível provenientes de desenvolvedores vinculados a estados. ## Alvos - **Tecnologia**: Ambientes de virtualização VMware ESXi em data centers - **Observado**: Acesso inicial via credenciais SonicWall VPN comprometidas - **Escopo**: Qualquer organização usando VMware ESXi 5.1 a 8.0 ## Indicadores de Comprometimento (IoCs) | Tipo | Valor | |------|-------| | Artefato | Pasta "全版本逃逸–交付" no toolkit | | Artefato | VSOCKpuppet backdoor via canal VSOCK | | Comportamento | Desabilitação de drivers VMCI no guest OS | | Comportamento | Driver unsigned carregado via BYOD | | Comportamento | Comúnicação VSOCK anômala entre VMs | Consulte relatórios da Huntress e SecPod para hashes e regras de detecção específicos. ## Referências - [Huntress - ESXi VM Escape Exploit: MAESTRO Toolkit Analysis](https://www.huntress.com/blog/esxi-vm-escape-exploit) - [The Hacker News - Chinese-Linked Hackers Exploit VMware ESXi Zero-Days](https://thehackernews.com/2026/01/chinese-linked-hackers-exploit-vmware.html) - [SecPod - Deploying VSOCKpuppet: ESXi Zero-Days Before Disclosure](https://www.secpod.com/blog/deploying-vsockpuppet-unmasking-how-chinese-threat-actors-exploited-esxi-zero-days-before-disclosure/) - [Hackread - MAESTRO Toolkit: VMware VM Escape Vulnerabilities](https://hackread.com/maestro-toolkit-vmware-vm-escape-vulnerabilities/)