brazen-bamboo - RunkIntel

# BrazenBamboo > [!danger] DEEPDATA - Framework de Vigilância Modular > O BrazenBamboo usa o **DEEPDATA**, um framework plug-in que inclui gravação de áudio via microfone, roubo de credenciais VPN Fortinet, e exfiltração de dados de Telegram e WeChat. A mesma infraestrutura opera o **LIGHTSPY** para dispositivos iOS e Android. > [!info] Nexo China - Cluster Não Atribuído Formalmente > A atribuição do BrazenBamboo ao governo chinês é baseada em nexo suspeito (Volexity), sem atribuição formal governamental. Compartilha características com [[g1045-salt-typhoon|Salt Typhoon]] e [[g0096-apt41|APT41]]. ## Perfil **BrazenBamboo** é uma designação da [[Volexity]] para um cluster de ameaça com suspeita de nexo à República Popular da China (**RPC**). O grupo foi identificado explorando uma vulnerabilidade no [[forticlient|FortiClient]] para Windows - [[cve-2024-21762|CVE-2024-21762]] - para roubar credenciais VPN via o malware **DEEPDATA**. O framework DEEPDATA é um conjunto modular de ferramentas de pós-exploração que inclui capacidades de roubo de credenciais, gravação de áudio, e acesso a dados de aplicativos como Telegram, WeChat e clientes VPN. ## Ferramentas e Malware - **DEEPDATA** - framework modular de pós-exploração com plug-ins para: - Roubo de credenciais VPN (incluindo Fortinet FortiClient) - Gravação de áudio via microfone - Exfiltração de dados de aplicativos de mensagens - **[[s1185-lightspy|LIGHTSPY]]** - framework iOS/Android de vigilância relacionado à mesma infraestrutura **CVEs explorados:** [[cve-2024-21762|CVE-2024-21762]] **Vendors alvejados:** [[_fortinet|Fortinet]] · [[forticlient|FortiClient]] **Atores relacionados:** [[g1045-salt-typhoon|Salt Typhoon]] · [[g1017-volt-typhoon|Volt Typhoon]] · [[g0096-apt41|APT41]] --- ## Relevância para o Brasil e LATAM BrazenBamboo é um ator de espionagem chinês recente (detectado 2024) explorando vulnerabilidades Fortinet contra governo, defesa e tecnologia em EUA, Europa e Ásia-Pacífico. Brasil enfrenta risco MODERADO a ALTO: (1) CVE-2024-21762 é zero-day crítico que afeta FortiClient Windows amplamente deployado em empresas brasileiras; (2) infraestrutura crítica energética, defesa e telecomúnicações usam Fortinet como VPN corporativa; (3) DEEPDATA framework com roubo de credenciais VPN e áudio representa risco operacional severo para acesso corporativo lateral. Monitoramento de Fortinet FortiClient desatualizado e configuração de VPN com padrão fraco é essencial. A sobreposição técnica com Salt Typhoon e APT41 sugere possível frente ampla de inteligência chinesa contra LATAM infrastructure crítica. --- updated: 2026-03-26 enriched: true ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota. ## TTPs Principais O BrazenBamboo, APT chinês identificado pela Volexity, explorou uma vulnerabilidade zero-day no FortiClient VPN (T1190) para roubar credenciais de memória do processo. O grupo utiliza o malware modular DEEPDATA para dumping de credenciais de 18 fontes diferentes (T1003), incluindo senhas de navegadores (T1555.003), e emprega o DEEPPOST para exfiltração de dados via HTTPS (T1041). Realiza descoberta de informações do sistema (T1082), captura de entrada via keylogging com LIGHTSPY (T1056.001), e arquiva dados coletados (T1560). Também utiliza interpretadores de shell Unix (T1059.004) para execução de comandos em appliances comprometidos.