# Raptor Train Botnet Campaign 2024 > [!danger] Maior botnet de dispositivos IoT chinês já desmantelado - 200.000+ dispositivos em 2 anos > O Raptor Train foi uma botnet operada pelo grupo Flax Typhoon (vinculado à empresa de segurança chinesa Integrity Technology Group) que comprometeu mais de 200.000 dispositivos de rede domésticos e empresariais em mais de 2 anos de operação. Em setembro de 2024, o FBI obteve autorização judicial para desmantelar a botnet, enviando comandos de neutralização remotos a dezenas de milhares de dispositivos comprometidos - um precedente legal significativo. ## Visão Geral O Raptor Train foi uma das operações de botnet mais sofisticadas patrocinadas pelo Estado chinês jamais documentadas. O grupo [[flax-typhoon|Flax Typhoon]], operado através da empresa de segurança cibernética Integrity Technology Group (Yongxin Zhicheng) com sede em Pequim, construiu ao longo de anos uma infraestrutura de botnet composta por dispositivos de rede comprometidos - roteadores domésticos, câmeras IP, NAS (armazenamento em rede) e outros dispositivos IoT - para criar um proxy distribuído capaz de mascarar operações de espionagem e reconhecimento contra alvos militares e governamentais. A botnet foi nomeada **Raptor Train** pela firma de segurança Black Lotus Labs (Lumen Technologies), que a rastreou por dois anos antes do takedown. O nome refere-se à sua arquitetura em camadas (nodes de nível 1, 2 e 3) e ao padrão de renovação contínua: dispositivos eram infectados, utilizados e substituídos regularmente, tornando o rastreamento extremamente difícil. A maior concentração simultânea foi de aproximadamente 60.000 dispositivos ativos em meados de 2023, com pico de 200.000 dispositivos únicos comprometidos ao longo de toda a operação. O malware implantado nos dispositivos IoT, denominado **Nosedive** (derivado do framework Mirai), era injetado via exploração de vulnerabilidades conhecidas em produtos de Zyxel, Hikvision, TP-Link, ASUS e outros fabricantes. Os dispositivos comprometidos serviam como proxies para mascarar o tráfego do Flax Typhoon em direção a alvos reais, tornando a atribuição extremamente complexa para equipes de defesa. O FBI obteve autorização de um tribunal federal americano para conduzir uma "operação de hackeamento defensivo" em setembro de 2024 - enviando comandos remotos para os dispositivos comprometidos que neutralizavam o malware e desconectavam os nós da botnet. A operação foi coordenada com o Departamento de Justiça, NSA, CISA, e parceiros internacionais como Austrália, Canadá, Nova Zelândia e Reino Unido. ## Attack Flow ```mermaid graph TB A["Varredura massiva de IoT<br/>Identificação de dispositivos<br/>com vulnerabilidades conhecidas"] --> B["Exploração de CVEs em IoT<br/>Zyxel, Hikvision, TP-Link<br/>Acesso root sem autenticação"] B --> C["Implante Nosedive<br/>Derivado do Mirai<br/>Persistência no dispositivo"] C --> D["Integração à botnet<br/>Nó Tier-1 como proxy<br/>Tráfego C2 criptografado"] D --> E["Operações de espionagem<br/>Tráfego roteado pelo nó<br/>mascarando origem chinesa"] E --> F["FBI Takedown Set 2024<br/>Autorização judicial para<br/>neutralização remota"] F --> G["200K+ dispositivos<br/>neutralizados ou reiniciados<br/>via operação defensiva"] ``` ## Cronologia | Data | Evento | |------|--------| | 2020-05 | Primeiras evidências da Raptor Train detectadas (Black Lotus Labs) | | 2022-2023 | Crescimento para 200.000+ dispositivos comprometidos ao longo de 2 anos | | 2023 (pico) | 60.000 dispositivos ativos simultaneamente no pico da botnet | | 2024-08 | FBI e Mandiant investigam atribuição à Integrity Technology Group | | 2024-09-18 | FBI obtém autorização judicial e executa takedown da Raptor Train | | 2024-09-18 | DOJ, CISA, NSA e Five Eyes divulgam operação públicamente | | 2024-09 | Black Lotus Labs pública análise técnica completa da botnet | | 2024-09 | Integrity Technology Group (Pequim) identificada como operadora | ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Botnet | [[t1584-005-botnet\|T1584.005]] | Rede de 200K+ dispositivos IoT comprometidos como infraestrutura | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVEs em Zyxel, Hikvision, TP-Link para acesso root | | External Remote Services | [[t1133-external-remote-services\|T1133]] | Uso de serviços de acesso remoto legítimos como cover | | Masquerading | [[t1036-masquerading\|T1036]] | Tráfego de espionagem disfarçado como comunicação de dispositivos IoT legítimos | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTP/HTTPS para mascarar tráfego de controle | ## Impacto **Escala da botnet:** - 200.000+ dispositivos únicos comprometidos ao total - 60.000 dispositivos ativos no pico (meados de 2023) - Dispositivos em mais de 2 anos de operação contínua - Fabricantes afetados: Zyxel, Hikvision, TP-Link, ASUS, Cisco RV, e outros **Alvos das operações de espionagem:** - Organizações militares americanas e aliadas - Agências governamentais dos EUA - Entidades em Taiwan (foco estratégico norte-coreano) - Infraestrutura de telecomúnicações crítica **Precedente legal:** - Primeira operação "hackback defensivo" do FBI em grande escala contra botnet IoT de Estado - Estabeleceu precedente para neutralização remota de dispositivos comprometidos em território americano ## Relevância LATAM e Brasil O impacto direto no Brasil foi limitado, mas o precedente é relevante: - Dispositivos IoT brasileiros (roteadores domésticos, câmeras IP) foram potencialmente comprometidos como nós da botnet, dada a escala global da operação - O Brasil possui alta densidade de dispositivos IoT vulneráveis sem patches de segurança - roteadores de operadoras com firmware desatualizado são candidatos frequentes a botnets similares - A operação demonstra que dispositivos IoT não gerenciados no [[technology|setor de tecnologia]] e residências brasileiras podem ser instrumentalizados por atores estatais estrangeiros sem o conhecimento dos proprietários ## Mitigação **Controles para dispositivos IoT:** - Aplicar patches de firmware em roteadores, câmeras IP e dispositivos NAS regularmente - Alterar credenciais padrão de fábrica em todos os dispositivos de rede - Segmentar redes IoT em VLAN separada das redes corporativas **Controles estratégicos:** - Aplicar [[m1051-update-software|M1051]] - programa de atualização de firmware para dispositivos de rede - Implementar [[m1035-limit-access-to-resource-over-network|M1035]] - restrição de acesso remoto a interfaces de administração de dispositivos IoT - Monitorar via [[ds-0029-network-traffic|DS-0029]] - comportamento anômalo de dispositivos IoT na rede ## Referências - [1](https://blogs.lumen.com/raptor-train-chinas-most-sophisticated-iot-botnet-yet/) Black Lotus Labs - Raptor Train: China's Most Sophisticated IoT Botnet Yet (2024) - [2](https://www.justice.gov/opa/pr/us-disrupts-flax-typhoon-hacking-group) DOJ EUA - US Disrupts Flax Typhoon Hacking Group (2024) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-249a) CISA - Advisory AA24-249A: Raptor Train Botnet (2024) - [4](https://www.fbi.gov/news/stories/fbi-disrupts-peoples-republic-of-china-botnet) FBI - FBI Disrupts PRC Botnet (2024) - [5](https://www.mandiant.com/resources/blog/flax-typhoon-targets-taiwan) Mandiant - Flax Typhoon Targets Taiwan (2023)