# Indian Critical Infrastructure Intrusions ## Descrição Indian Critical Infrastructure Intrusions (MITRE C0043) foi uma série de intrusões cibernéticas documentadas pelo Insikt Group da Recorded Future entre 2021 e início de 2022, atribuídas com alta confiança a atores de ameaça com nexo à República Popular da China (RPC) - específicamente os grupos RedEcho e TAG38 (Threat Activity Group 38). A campanha teve como alvo principal concessionárias de energia elétrica e empresas de logística indianas, bem como potenciais provedores de serviços gerenciados (MSPs) que atuam no país. O timing das intrusões é significativo: elas ocorreram em um período de elevada tensão militar na fronteira sino-indiana (confrontos do Vale de Galwan, 2020), sugerindo objetivos estratégicos de posicionamento para potencial sabotagem em caso de escalada de conflito. A infraestrutura técnica da campanha foi sofisticada: os atores utilizaram o [[s0596-shadowpad|ShadowPad]] - uma plataforma modular de malware associada exclusivamente a operações de APT chinesas - e o [[s1144-frp|FRP]] (Fast Reverse Proxy) para comunicação encriptada de C2. A campanha fez uso extensivo de comprometimento de infraestrutura de terceiros ([[t1584-compromise-infrastructure|T1584]]), resolução dinâmica de DNS ([[t1568-dynamic-resolution|T1568]]) e criptografia assimétrica no canal de comunicação ([[t1573-002-asymmetric-cryptography|T1573.002]]) para evasão de detecção. Portas não-padrão ([[t1571-non-standard-port|T1571]]) e bridging de fronteiras de rede ([[t1599-network-boundary-bridging|T1599]]) indicam tentativa de alcançar ambientes OT a partir de redes de TI comprometidas. Embora não hajá evidências confirmadas de que os atores tenham avançado além da violação de sistemas de TI para efetivo comprometimento de ambientes de Tecnologia Operacional (OT), a campanha representa um caso claro de pré-posicionamento estratégico: acesso mantido em infraestrutura crítica de energia para uso futuro em cenário de conflito. Em março de 2021, a Índia sofreu um apagão em Mumbai que analistas suspeitaram estar relacionado à campanha - embora a causalidade não tenha sido formalmente estabelecida. ## Impacto | Métrica | Detalhe | |---------|---------| | Período | 2021 – início de 2022 | | Atores | RedEcho, TAG38 (nexo China/RPC) | | Alvos | Concessionárias de energia elétrica, logística, MSPs - Índia | | Malware | ShadowPad (APT China exclusivo), FRP | | Objetivos | Pré-posicionamento estratégico - potencial sabotagem futura | | OT comprometido | Não confirmado - acesso OT não foi estabelecido | | Contexto geopolítico | Tensões sino-indianas pós-confrontos de Galwan (2020) | ## Relevância LATAM/Brasil O impacto direto no Brasil e América Latina é **baixo**. Contudo, a campanha é relevante como referência métodológica para a proteção de infraestrutura crítica brasileira contra atores estatais chineses. O Brasil é um dos maiores parceiros comerciais da China no mundo, mas também mantém interesses estratégicos próprios em setores de energia e tecnologia que podem ser alvos de espionagem. O uso do [[s0596-shadowpad|ShadowPad]] - uma plataforma de malware que vazou da cadeia de suprimentos de software em 2017 e passou a ser distribuída exclusivamente entre grupos APT chineses - é um indicador diagnóstico de atribuição a atores com nexo RPC. Operadoras de energia e MSPs brasileiros devem monitorar indicators associados ao ShadowPad e FRP em suas redes. ## Técnicas Utilizadas - [[t1584-compromise-infrastructure|T1584 - Compromise Infrastructure]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1588-004-digital-certificates|T1588.004 - Digital Certificates]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] - [[t1599-network-boundary-bridging|T1599 - Network Boundary Bridging]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] ## Software Utilizado - [[s1144-frp|FRP]] - [[s0596-shadowpad|ShadowPad]] --- *Fonte: [MITRE ATT&CK - C0043](https://attack.mitre.org/campaigns/C0043)*