# Velvet Ant F5 BIG-IP Campaign > [!high] > O grupo chinês **Velvet Ant** manteve acesso persistente a uma organização por **mais de três anos** (2021-2024) explorando dispositivos **F5 BIG-IP** legados como ponto de persistência encoberto. A campanha, revelada pela Sygnia em 2024, demonstrou a capacidade de grupos APT de sobreviver a múltiplas rodadas de remediação de incidente ao usar infraestrutura de rede obsoleta como refúgio. ## Visão Geral O [[g1047-velvet-ant]] é um grupo de espionagem cibernética com nexo chinês descoberto pela Sygnia durante uma investigação de resposta a incidentes em uma grande empresa multinacional. O que tornou essa campanha singular não foi o vetor de acesso inicial — exploração da vulnerabilidade [[CVE-2022-1388]] em appliances F5 BIG-IP desatualizados — mas a **estratégia de persistência de três camadas** que permitiu ao grupo sobreviver a múltiplas tentativas de erradicação da equipe de resposta a incidentes. A organização vítima havia migrado sua infraestrutura para ambientes modernos, mas mantinha appliances F5 BIG-IP legados em sua rede, usados esporadicamente para certos fluxos de tráfego. O [[g1047-velvet-ant]] identificou esses dispositivos como pontos ideais de persistência: os appliances rodavam sistemas operacionais legados com capacidades de EDR limitadas, eram raramente monitorados pelos times de segurança, e tinham acesso de rede privilegiado à infraestrutura da organização. Com acesso estabelecido via webshell nos dispositivos F5, o grupo implantou [[s0013-plugx]] e [[s0596-shadowpad]] em estações de trabalho e servidores corporativos. Mais sofisticado ainda foi o **VELVETSTING** — um utilitário de captura de tráfego customizado que interceptava comúnicações da rede interna diretamente nos appliances F5. O **VELVETTAP** foi utilizado para capturar tráfego de autenticação e extrair credenciais. Quando os defensores descobriam e remediavam um vetor de acesso, o grupo reativava a presença via os appliances F5 que permaneciam comprometidos. A Sygnia revelou a campanha em junho de 2024, demonstrando que o verdadeiro ponto de persistência era a infraestrutura de rede legada, não os endpoints monitorados. ## Attack Flow ```mermaid graph TB A["💥 Exploração CVE-2022-1388<br/>RCE não autenticado em<br/>F5 BIG-IP iControl REST"] --> B["🐚 Implantação de Webshell<br/>Acesso persistente ao<br/>sistema operacional F5"] B --> C["🌐 Tunneling via F5<br/>F5 como ponto de pivô<br/>para rede interna"] C --> D["🔍 Reconhecimento Profundo<br/>VELVETSTING captura tráfego<br/>VELVETTAP coleta credenciais"] D --> E["🐀 Implantação PlugX/ShadowPad<br/>RATs em endpoints corporativos<br/>para espionagem de longo prazo"] E --> F["📤 Exfiltração Persistente<br/>Dados coletados durante<br/>3+ anos sem detecção"] F --> G["🔄 Ressurgimento pós-remediação<br/>Reativação via F5 legacy<br/>após limpeza de endpoints"] ``` ## Cronologia ```mermaid timeline title Velvet Ant F5 Campaign - Linha do Tempo 2021 : Velvet Ant obtém acesso inicial via F5 BIG-IP : Implantação de webshell e PlugX 2022 : CVE-2022-1388 divulgada (F5 BIG-IP iControl) : Velvet Ant consolida acesso via F5 legacy 2022-2023 : Operação silenciosa de espionagem : Múltiplos ciclos de remediação fracassam 2024 : Sygnia inicia resposta a incidente : Descoberta de persistência via F5 legado Jun 2024 : Sygnia publica análise da campanha Velvet Ant : Revelação do VELVETSTING e VELVETTAP ``` ## TTPs Principais | Tática | Técnica | Detalhe | |--------|---------|---------| | Acesso Inicial | [[T1190-exploit-public-facing-application\|T1190]] | CVE-2022-1388: RCE não autenticado em F5 BIG-IP iControl REST API | | Persistência | [[T1505.003-server-side-component-web-shell\|T1505.003]] | Webshell implantada em appliance F5 para acesso persistente | | Evasão | Dispositivo legado como refúgio | F5 sem EDR evitava detecção de endpoints | | Coleta | VELVETSTING | Captura de tráfego de rede diretamente no F5 | | Coleta de Credenciais | VELVETTAP | Interceptação de tráfego de autenticação | | C2 | [[T1071.001-application-layer-protocol-web-protocols\|T1071.001]] | PlugX/ShadowPad via HTTPS para infraestrutura C2 chinesa | | Exfiltração | [[T1560-archive-collected-data\|T1560]] | Dados comprimidos e exfiltrados periodicamente | ## Vítimas e Impacto - **1 grande multinacional** confirmada (não nomeada pela Sygnia) - comprometida por 3+ anos - **Setores alvo documentados**: manufatura, tecnologia, empresas com infraestrutura F5 legada - **Dados exfiltrados**: propriedade intelectual, credenciais corporativas, tráfego de rede interno - **Impacto operacional**: persistência sobreviveu a múltiplas rodadas de limpeza de incidente - **Lição**: infraestrutura de rede legada é vetor crítico de persistência subestimado ## Relevância LATAM O [[g1047-velvet-ant]] ilustra uma ameaça diretamente aplicável ao contexto latino-americano: organizações de [[technology|tecnologia]] e [[manufacturing|manufatura]] no Brasil frequentemente mantêm appliances F5, Cisco, Juniper e Palo Alto em versões desatualizadas por razões operacionais ou orçamentárias. O padrão de exploração de infraestrutura de rede legada como ponto de persistência encoberto é replicável por qualquer grupo APT com capacidade técnica equivalente. Empresas com operações críticas no Brasil devem auditar dispositivos de rede legados que permanecem conectados a ambientes críticos. ## Mitigação - Inventariar e atualizar ou descomissionar todos os appliances F5 BIG-IP em versões vulneráveis ao CVE-2022-1388 - Estender cobertura de EDR e monitoramento para dispositivos de rede e appliances (não apenas endpoints) - Segmentar dispositivos legados da rede principal — nunca conceder acesso de rede privilegiado a appliances sem suporte - Implementar detecção de anomalias de tráfego para identificar captura passiva (ferramentas como VELVETSTING) - Realizar hunt proativa para webshells em dispositivos F5, Citrix, e outros appliances com historial de exploração - Após incidentes, incluir appliances de rede no escopo de remediação — não apenas endpoints ## Referências - [1](https://www.sygnia.co/threat-reports-and-advisories/operation-velvet-ant-f5-big-ip-zero-day/) Sygnia - Operation Velvet Ant: F5 BIG-IP Zero-Day (2024) - [2](https://www.bleepingcomputer.com/news/security/china-linked-velvet-ant-hackers-lurked-on-f5-big-ip-devices-for-3-years/) BleepingComputer - Velvet Ant Hackers Lurked on F5 BIG-IP for 3 Years (2024) - [3](https://www.darkreading.com/cyberattacks-data-breaches/chinese-apt-velvet-ant-three-year-f5-big-ip-campaign) Dark Reading - Chinese APT Velvet Ant Three-Year F5 BIG-IP Campaign (2024) - [4](https://nvd.nist.gov/vuln/detail/CVE-2022-1388) NVD - CVE-2022-1388 F5 BIG-IP iControl RCE (2022) - [5](https://unit42.paloaltonetworks.com/plugx-variants-in-use/) Unit 42 - PlugX Variants in Use by Chinese APT Groups (2023)