flax-typhoon - RunkIntel

# Flax Typhoon > [!warning] **Flax Typhoon** é um grupo de ameaça atribuído a **China** ativo desde **2021**. ## Visão Geral **Flax Typhoon** (também rastreado como **Ethereal Panda**, **Storm-0919** e **RedJuliett**) é um grupo de ameaça persistente avançada (APT) atribuído ao governo da República Popular da China (**RPC**) e operado através de uma empresa contratada, **Integrity Technology Group**, com sede em Pequim. O grupo é notório pelo comprometimento em larga escala de dispositivos IoT - roteadores, câmeras IP e gravadores digitais de vídeo (DVRs) - para construir a botnet denominada pelos pesquisadores como **Raptor Train**, usada como infraestrutura de proxy para operações de espionagem e potencialmente para ataques DDoS em escala. A Integrity Technology Group operava uma plataforma interna chamada **Sparrow** para gerenciar e controlar a botnet. O aplicativo permitia aos operadores gerenciar e controlar a botnet e servidores C2, enviar tarefas para dispositivos vítimas, realizar DDoS customizados em escala e upload/download de arquivos. O grupo compartilha infraestrutura e possui sobreposição de TTPs com o [[g1045-salt-typhoon|Salt Typhoon]] e o [[g1017-volt-typhoon|Volt Typhoon]], fazendo parte do ecossistema mais amplo de grupos de espionagem chineses. ## Timeline - Operação Raptor Train e Desarticulação FBI ```mermaid timeline title Flax Typhoon - Cronologia Principal 2020 : Início da botnet Raptor Train : Primeiras infecções de IoT 2021 : Atividade documentada pela Microsoft : Foco inicial em Taiwan 2023 : Espionagem ativa contra Taiwan : Tentativas contra Atlassian Confluence e Ivanti Dez 2023 : Scanning militar dos EUA no Jápão : Alvos: defesa, governo, telecom Jun 2024 : Botnet atinge 260.000 dispositivos : Vítimas em América do Sul identificadas Set 2024 : FBI desmantela infraestrutura : Integrity Tech queima própria infra durante operação Ján 2025 : Tesouro dos EUA sanciona Integrity Technology Group : Exposição pública da empresa de fachada ``` > [!danger] Botnet de 260.000 Dispositivos - Operação Raptor Train > O Flax Typhoon construiu e operou através de **Integrity Technology Group** uma botnet com mais de **260.000 dispositivos IoT comprometidos** em escala global - roteadores domésticos, câmeras IP e DVRs. Em setembro de 2024, o FBI desarticulou a infraestrutura. Quando os operadores perceberam, lançaram um ataque DDoS contra a própria operação do FBI e depois **queimaram toda a nova infraestrutura**. > [!info] Empresa de Fachada - Integrity Technology Group > O Flax Typhoon operava mascarado como **Integrity Technology Group**, empresa de segurança da informação com sede em Pequim listada públicamente. O presidente da empresa **admitiu públicamente** que por anos coletou inteligência e conduziu reconhecimento para agências de segurança do governo chinês. Em janeiro de 2025, o Tesouro dos EUA sancionou a empresa. > [!warning] Ecossistema Typhoon - Coordenação Chinesa > O Flax Typhoon compartilha infraestrutura com [[g1045-salt-typhoon|Salt Typhoon]] e [[g1017-volt-typhoon|Volt Typhoon]], todos parte do ecossistema de espionagem chinês contra infraestrutura ocidental. Enquanto o Volt Typhoon foca em infraestrutura crítica pré-posicionamento, o Salt Typhoon em telecomúnicações e o Flax Typhoon em IoT/proxy global. ## Attack Flow - Botnet IoT como Infraestrutura de Espionagem ```mermaid graph TB A["🔍 Reconhecimento Scan massivo de IoT Roteadores / Câmeras / DVRs"] --> B["💥 Exploração CVEs conhecidos em IoT + Credenciais padrão"] B --> C["🤖 Implantação Nosedive Variante Mirai customizada Infecta dispositivo silenciosamente"] C --> D["🌐 Botnet Raptor Train 260.000+ dispositivos Estrutura Tier 1-2-3"] D --> E["🕵️ Operações de Espionagem Proxy anônimo via IoT Taiwan / EUA / Europa"] E --> F["🔄 App Sparrow Plataforma C2 central Gestão de bots + DDoS"] classDef scan fill:#1a5276,color:#fff,stroke:#154360 classDef exploit fill:#c0392b,color:#fff,stroke:#922b21 classDef implant fill:#e67e22,color:#fff,stroke:#d35400 classDef botnet fill:#8e44ad,color:#fff,stroke:#6c3483 classDef ops fill:#196f3d,color:#fff,stroke:#145a32 classDef c2 fill:#2471a3,color:#fff,stroke:#1a5276 class A scan class B exploit class C implant class D botnet class E ops class F c2 ``` ## Campanhas Recentes ### Raptor Train (2020-2024) A operação mais significativa do Flax Typhoon. A botnet Raptor Train, descoberta pelos pesquisadores da Black Lotus Labs (Lumen Technologies), infectou mais de **1,2 milhão de registros** de dispositivos comprometidos ao longo de sua operação, com **260.000 dispositivos ativos** em junho de 2024. **Alvos documentados pela Black Lotus Labs:** - Entidades militares dos EUA (incluindo ativos no Jápão) - Agências governamentais dos EUA - Provedores de tecnologia da informação - Organizações da base industrial de defesa (DIB) - Uma agência governamental no Cazaquistão - Servidores Atlassian Confluence - Appliances Ivanti Connect Secure A estrutura da botnet usava três camadas: - **Tier 1:** Dispositivos IoT comprometidos (roteadores, câmeras, DVRs, NAS) - **Tier 2:** Servidores C2 virtuais - **Tier 3:** Infraestrutura de gerenciamento central ## Arsenal e Malware - **Nosedive** - Variante customizada do Mirai, implantada em dispositivos IoT via exploits de vulnerabilidades conhecidas e credenciais padrão - **Plataforma Sparrow** - Aplicação interna para gerenciamento da botnet, C2, upload/download e ataques DDoS personalizados - **VPN e RDP legítimos** - Uso de software VPN legítimo e Remote Desktop Protocol para acesso a sistemas comprometidos (2022-2023) ## Técnicas (TTPs) - **T1190 - Exploit Public-Facing Application** - Exploração de CVEs em dispositivos IoT expostos - **T1078 - Valid Accounts** - Uso de credenciais padrão e roubadas em dispositivos IoT - **T1571 - Non-Standard Port** - Comúnicação C2 via TLS na porta 443 - **T1090 - Proxy** - Dispositivos IoT usados como proxies multi-camadas - **T1498 - Network Denial of Service** - Capacidade de DDoS reservada - **T1592 - Gather Victim Host Information** - Banco de dados SQL com 1,2M registros de dispositivos **Técnicas MITRE referênciadas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1078-valid-accounts|T1078]] · [[t1571-non-standard-port|T1571]] · [[t1090-proxy|T1090]] ## Relevância LATAM A botnet **Raptor Train** tinha distribuição geografica global confirmada por agencias dos EUA, UK, Canada, Australia e Nova Zelandia. Vitimas foram identificadas em: - **América do Sul** - Incluindo dispositivos IoT no Brasil, Argentina e outros paises - **América do Norte** - Maioria das vitimas documentadas - **Europa, Africa, Sudeste Asiatico e Australia** Roteadores e DVRs comprometidos no Brasil, Argentina e Mexico podem ter feito parte da infraestrutura de proxy do grupo sem conhecimento dos proprietarios. Provedores de internet e empresas brasileiras de telecomúnicacoes devem auditar dispositivos IoT conectados em redes corporativas. **Impacto transitivo:** Infraestrutura brasileira pode ter sido usada para espionagem contra Taiwan, EUA e outros alvos prioritarios do grupo. ## Detecção e Defesa **Mitigacoes prioritarias:** - Substituir equipamentos IoT fora de suporte (end-of-life) - Aplicar patches e atualizacoes regularmente em todos dispositivos IoT - Substituir senhas padrao por senhas fortes em roteadores e cameras - Desabilitar servicos e portas nao utilizados - Implementar segmentacao de rede para isolar dispositivos IoT - Reiniciar dispositivos periodicamente (remove malware nao persistente como variantes Mirai) **Indicadores de comprometimento:** - Subdominio `w8510.com` - mais de 80 subdominios identificados como servidores C2 - IP addresses registrados para China Únicom Beijing Province Network **Mitigação referênciada:** [[m1016-vulnerability-scanning|M1016]] · [[m1030-network-segmentation|M1030]] ## Referências - [DOJ - Court-Authorized Disruption of Flax Typhoon Botnet](https://www.justice.gov/archives/opa/pr/court-authorized-operation-disrupts-worldwide-botnet-used-peoples-republic-china-state) - [FBI/CISA Joint Advisory - Botnet IoT Ligada a China](https://media.defense.gov/2024/Sep/18/2003547016/-1/-1/0/CSA-PRC-LINKED-ACTORS-BOTNET.PDF) - [Black Lotus Labs - Raptor Train Botnet](https://blog.lumen.com/raptor-train/) - [Treasury - Sancoes contra Integrity Technology Group](https://home.treasury.gov/news/press-releases/jy2932) - [Microsoft - Flax Typhoon Taiwan Operations (2023)](https://www.microsoft.com/en-us/security/blog/2023/08/24/flax-typhoon-using-legitimate-software-to-quietly-access-taiwanese-organizations/) **Atores relacionados:** [[g1045-salt-typhoon|Salt Typhoon]] · [[g1017-volt-typhoon|Volt Typhoon]] · [[g0096-apt41|APT41]] **Setores alvejados:** [[telecommunications|Telecomúnicacoes]] · [[government|Governo]] · [[critical-infrastructure|Infraestrutura Critica]]