# J-magic Campaign ## Descrição A J-magic Campaign (MITRE C0050) foi uma campanha de espionagem sofisticada documentada pela Lumen Black Lotus Labs, ativa de meados de 2023 a meados de 2024. A campanha se distinguiu pelo foco exclusivo em roteadores Juniper Networks rodando Junos OS - específicamente dispositivos usados como gateways VPN corporativos. O malware [[s1203-j-magic|J-magic]] é uma variante customizada e adaptada do cd00r (backdoor de código aberto), modificado para operar específicamente no ambiente Junos OS. Sua característica mais notável é o mecanismo de ativação: o J-magic fica dormentemente monitorando todo o tráfego de rede do dispositivo até receber um "pacote mágico" que contém credenciais corretas - só então estabelece um canal de shell reverso. Isso torna a detecção extremamente difícil, pois o malware não abre portas ou faz conexões proativas. A cadeia técnica da campanha envolveu implantação do J-magic em dispositivos Juniper expostos, camuflagem do malware com nomes de processos legítimos do sistema ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]), uso de certificados digitais customizados ([[t1587-003-digital-certificates|T1587.003]]) para comunicação C2 e infrastructure de Virtual Private Servers ([[t1583-003-virtual-private-server|T1583.003]]) para anonimização. Os setores visados incluíram semicondutores, energia, manufatura e tecnologia da informação - com alvos identificados na América do Norte, América do Sul, Europa e Ásia. A atribuição não foi públicamente realizada pelos pesquisadores, embora o perfil de alvos e a sofisticação técnica sugiram um ator de espionagem patrocinado por Estado. A J-magic Campaign é particularmente relevante por explorar um vetor de ataque negligenciado: dispositivos de rede (roteadores e firewalls) em vez de endpoints de usuário. Esses dispositivos frequentemente carecem de soluções EDR, executam sistemas operacionais proprietários com visibilidade de log limitada e estão posicionados em locais de alto valor na rede corporativa - ideais para interceptação de tráfego, pivô lateral e persistência de longo prazo. A campanha demonstrou que gateways VPN de alto perfil são alvos ativos de campanhas APT globais. ## Impacto | Métrica | Detalhe | |---------|---------| | Período | Meados de 2023 – meados de 2024 | | Alvo | Roteadores Juniper Junos OS - gateways VPN corporativos | | Setores | Semicondutores, energia, manufatura, TI | | Regiões | América do Norte, América do Sul, Europa, Ásia | | Malware | J-magic (variante cd00r customizada para Junos OS) | | Ativação | "Magic packet" - detecção extremamente difícil | | Atribuição | Não pública - provável ator estatal de espionagem | ## Relevância LATAM/Brasil O impacto na América Latina é **moderado** - alvos foram identificados na América do Sul, e o Brasil possui amplo uso de roteadores Juniper em ambientes corporativos e de telecomúnicações de grande porte. Organizações brasileiras nos setores de energia, telecomúnicações, manufatura e tecnologia que utilizam Juniper Networks como gateways VPN devem verificar a integridade de seus dispositivos. A detecção do J-magic requer análise de memória do processo no dispositivo Junos OS - não é detectável por soluções convencionais de endpoint. Recomenda-se auditoria de dispositivos Juniper com foco em processos anômalos, especialmente aqueles que monitoram interfaces de rede passivamente. ## Técnicas Utilizadas - [[t1583-003-virtual-private-server|T1583.003 - Virtual Private Server]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1588-001-malware|T1588.001 - Malware]] - [[t1587-003-digital-certificates|T1587.003 - Digital Certificates]] ## Software Utilizado - [[s1203-j-magic|J-magic]] --- *Fonte: [MITRE ATT&CK - C0050](https://attack.mitre.org/campaigns/C0050)*