florahox-activity - RunkIntel

# FLORAHOX Activity ## Descrição A FLORAHOX Activity (MITRE C0053) representa uma das redes de retransmissão operacional (ORB - Operational Relay Box) mais sofisticadas documentadas por pesquisadores de segurança, ativa entre 2019 e pelo menos 2024. A rede é composta por uma infraestrutura híbrida que combina dois elementos: dispositivos comprometidos (roteadores SOHO e dispositivos IoT em fim de vida útil) e Virtual Private Servers (VPS) contratados comercialmente. Essa arquitetura híbrida permite que os adversários façam proxy e obscureçam o tráfego malicioso em múltiplas camadas, tornando o rastreamento da origem extremamente difícil para defensores e analistas forenses. A rede ORB FLORAHOX é um serviço de infraestrutura compartilhado utilizado por múltiplos atores de ameaça cibernética com nexo à China, mais notavelmente o ZIRCONIUM (APT31). O modelo de operação é distinto: a rede é gerenciada por administradores dedicados que a disponibilizam como serviço para grupos de espionagem, separando as funções de infraestrutura e de intrusão. O acesso inicial às vítimas é obtido por meio de exploração de aplicações públicas ([[t1190-exploit-public-facing-application|T1190]]), enquanto o tráfego subsequente é roteado via nós Tor ([[t1090-003-multi-hop-proxy|T1090.003]]), VPS provisionados e roteadores comprometidos para ofuscação multicamada do tráfego de comando e controle. A relevância estratégica da FLORAHOX reside no modelo de "ORB-as-a-Service": uma rede de proxy operacional compartilhada entre grupos de APT permite que múltiplos atores conduzam campanhas de espionagem global com anonimato aprimorado e resiliência operacional. A estrutura dificulta a atribuição individual e permite que os operadores rapidamente substituam nós comprometidos. Os alvos principais incluem setores de governo, defesa e infraestrutura crítica em escala global, com operações documentadas na América do Norte, Europa e Ásia. ## Impacto | Métrica | Detalhe | |---------|---------| | Período ativo | 2019 – 2024+ | | Usuários da rede | Múltiplos APTs com nexo China (ZIRCONIUM/APT31) | | Setores visados | Governo, defesa, infraestrutura crítica - global | | Modelo operacional | ORB-as-a-Service: infraestrutura compartilhada entre grupos de espionagem | | Técnica chave | Multi-hop proxy via Tor + VPS + roteadores SOHO comprometidos | ## Relevância LATAM/Brasil O impacto direto no Brasil e América Latina é **baixo** segundo as análises disponíveis. Contudo, a FLORAHOX Activity é relevante para a região por três razões: (1) roteadores e dispositivos IoT de consumo são igualmente vulneráveis no Brasil e podem ser recrutados para redes ORB similares; (2) o modelo de APT usando ORBs compartilhadas é replicado por outros atores que visam governos e defesa na América Latina; (3) a técnica de multi-hop proxy via roteadores domésticos comprometidos dificulta o rastreamento de campanhas de espionagem regional. Organizações do setor de defesa e governo brasileiro devem considerar que o tráfego malicioso pode originar-se aparentemente de IPs domésticos ou de VPS legítimos. ## Técnicas Utilizadas - [[t1584-008-network-devices|T1584.008 - Network Devices]] - [[t1583-003-virtual-private-server|T1583.003 - Virtual Private Server]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] ## Software Utilizado - [[s0183-tor|Tor]] --- *Fonte: [MITRE ATT&CK - C0053](https://attack.mitre.org/campaigns/C0053)*