# Quad7 Activity ## Descrição A Quad7 Activity, também conhecida como CovertNetwork-1658 ou 7777 Botnet, é uma infraestrutura de rede de roteadores SOHO (small office/home office) comprometidos operada por atores de ameaça vinculados à China. A botnet recebeu o nome Quad7 devido aos dispositivos comprometidos exporém a porta TCP 7777 com o banner característico `xlogin`. A infraestrutura foi inicialmente composta predominantemente por roteadores TP-Link; atividades posteriores evidênciaram expansão para roteadores Asus, com adição de novas portas incluindo TCP 63256 exibindo o banner `alogin`. A botnet funciona como um conjunto de IPs de saída ([[t1090-002-external-proxy|T1090.002]]) que múltiplos atores de ameaça vinculados à China utilizaram para password spraying ([[t1110-003-password-spraying|T1110.003]]) e força bruta contra organizações-alvo. A Microsoft rastreou o grupo Storm-0940 utilizando credenciais obtidas via Quad7 para comprometer organizações na América do Norte e Europa - incluindo agências governamentais, ONGs, think tanks, escritórios de advocacia, empresas de energia, provedores de TI e entidades da base industrial de defesa. A natureza da infraestrutura como botnet de dispositivos comprometidos - ao invés de servidores cloud dedicados - confere resiliência e anonimidade: o tráfego malicioso origina-se de dispositivos SOHO legítimos em múltiplos países, dificultando filtragem por IP e geolocalização. O uso de fileless storage ([[t1027-011-fileless-storage|T1027.011]]) em dispositivos comprometidos dificulta ainda mais a detecção. ## Impacto A Quad7 Activity forneceu infraestrutura de proxy para múltiplos atores de ameaça chineses realizarem campanhas de credential spraying contra alvos de alto valor globalmente. O Storm-0940, um dos usuários documentados da infraestrutura, comprometeu organizações em setores sensíveis na América do Norte e Europa usando credenciais obtidas via Quad7. ## Relevância LATAM/Brasil Roteadores SOHO de marcas TP-Link e Asus são amplamente utilizados por pequenas e médias empresas brasileiras. Dispositivos sem atualizações de firmware ou com credenciais padrão podem ser recrutados para a botnet Quad7 ou infraestruturas similares. Além do risco de comprometimento dos próprios dispositivos, a infraestrutura Quad7 pode ser utilizada por atores para ofuscação de ataques de credential spraying contra organizações brasileiras, tornando os IPs de origem aparentemente legítimos. Empresas e prestadores de serviços de TI no Brasil devem manter firmware atualizado em dispositivos de rede de borda e monitorar tentativas de login a partir de IPs de roteadores residenciais. ## Técnicas Utilizadas - [[t1665-hide-infrastructure|T1665 - Hide Infrastructure]] - [[t1584-008-network-devices|T1584.008 - Network Devices]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1589-002-email-addresses|T1589.002 - Email Addresses]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1090-002-external-proxy|T1090.002 - External Proxy]] - [[t1110-003-password-spraying|T1110.003 - Password Spraying]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1584-005-botnet|T1584.005 - Botnet]] ## Software Utilizado - [[s0095-ftp|ftp]] --- --- *Fonte: [MITRE ATT&CK - C0055](https://attack.mitre.org/campaigns/C0055)* *Fonte: Microsoft - "Storm-0940: Chinese Threat Actor Uses Quad7 Infrastructure" (Outubro 2024)* *Fonte: Sekoia - "Uncovering CovertNetwork-1658/Quad7 Botnet" (Setembro 2024)*