# RedPenguin ## Descrição RedPenguin é uma campanha de espionagem cibernética conduzida pelo [[g1048-unc3886|UNC3886]] - grupo de ameaça avançada atribuído à China com foco em exploração de dispositivos de infraestrutura de rede - , documentada pela Mandiant (Google Cloud Security) em março de 2025. A Juniper iniciou investigação da campanha em julho de 2024 após clientes reportarem infecções em roteadores MX Series; a análise forense identificou múltiplas versões customizadas do backdoor TINYSHELL implantadas nos dispositivos comprometidos. O [[g1048-unc3886|UNC3886]] demonstrou capacidade avançada de comprometer e persistir em dispositivos de rede de borda - roteadores Juniper MX Series - , implantando backdoors customizados ([[s1219-reptile|REPTILE]] e [[s1220-medusa|MEDUSA]]) que sobreviveriam a reinicializações e atualizações de firmware em versões específicas. As técnicas utilizadas incluem sniffing de rede ([[t1040-network-sniffing|T1040]]) para captura de credenciais, uso do CLI nativo do dispositivo ([[t1059-008-network-device-cli|T1059.008]]), supressão de histórico de comandos ([[t1562-003-impair-command-history-logging|T1562.003]]) e limpeza de histórico de conexões ([[t1070-007-clear-network-connection-history-and-configurations|T1070.007]]). A campanha é parte de um padrão mais amplo do [[g1048-unc3886|UNC3886]] de exploração de dispositivos de borda de rede - anteriormente documentado em campanha contra VMware ESXi e firewalls Fortinet. O grupo demonstra conhecimento profundo de firmwares de equipamentos de rede, sugerindo acesso a código-fonte ou capacidade de engenharia reversa avançada. ## Impacto O comprometimento de roteadores Juniper MX Series - equipamentos de backbone de telecomúnicações e grandes redes corporativas - forneceu ao [[g1048-unc3886|UNC3886]] acesso privilegiado a tráfego de rede de alto valor, incluindo capacidade de sniffing de credenciais em trânsito. A persistência nos dispositivos, capaz de sobreviver a atualizações, indica interesse em manutenção de acesso de longo prazo para coleta contínua de inteligência. ## Relevância LATAM/Brasil Roteadores Juniper MX Series são amplamente utilizados por operadoras de telecomúnicações e grandes empresas brasileiras como backbone de rede. Operadoras como Claro, Vivo, TIM e Oi, além de grandes bancos e empresas de infraestrutura crítica, utilizam equipamentos Juniper em seus ambientes. A campanha RedPenguin demonstra que o [[g1048-unc3886|UNC3886]] tem capacidade e interesse em comprometer infraestrutura de rede de backbone - alvos que, se comprometidos, forneceriam acesso a enorme volume de tráfego corporativo e governamental brasileiro. ## Atores Envolvidos - [[g1048-unc3886|UNC3886]] ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1104-multi-stage-channels|T1104 - Multi-Stage Channels]] - [[t1059-008-network-device-cli|T1059.008 - Network Device CLI]] - [[t1562-003-impair-command-history-logging|T1562.003 - Impair Command History Logging]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1070-007-clear-network-connection-history-and-configurations|T1070.007 - Clear Network Connection History and Configurations]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1090-proxy|T1090 - Proxy]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] ## Software Utilizado - [[s1219-reptile|REPTILE]] - [[s1220-medusa|MEDUSA]] --- --- *Fonte: [MITRE ATT&CK - C0056](https://attack.mitre.org/campaigns/C0056)* *Fonte: Mandiant - "UNC3886: Chinese Espionage Actor Backdoors Juniper Routers" (Março 2025)* *Fonte: Juniper SIRT Advisory - JSA92943 (Março 2025)*