# Fox Kitten > [!danger] IRGC - Broker de Acesso Inicial + Parceiro de Ransomware > Fox Kitten combina dois modelos de ameaça: espionagem estatal para o governo iraniano E colaboracao com afiliados de ransomware para lucro proprio. Este duplo papel - estado + crime - e incomum e representa um risco único: comprometimentos governamentais sao monetizados via ransomware sem que o grupo revele sua identidade iraniana. ## Visão Geral Fox Kitten (Pioneer Kitten / Lemon Sandstorm) e um grupo de ameaça iraniano vinculado ao IRGC, ativo desde pelo menos 2017. O grupo especializou-se em **exploração massiva de dispositivos de borda de rede** (VPNs, firewalls, load balancers) para obter acesso inicial a redes corporativas e governamentais. **Dupla operação:** Enquanto conduz espionagem estatal (roubo de informações técnicas sensiveis para o governo iraniano), o grupo também **vende acesso a redes comprometidas** a afiliados de ransomware (NoEscape, RansomHouse, ALPHV/BlackCat) em troca de porcentagem dos pagamentos. Segundo o FBI, os membros do grupo mantêm esta atividade **sem informar os afiliados que sao iranianos** e sem autorização explicita do governo iraniano - financiando-se de forma independente. **CVEs como armas primarias:** O grupo e notorious pela velocidade de exploração de novas vulnerabilidades em dispositivos de rede. Em 2024, já estava varrendo por CVE-2024-3400 (PAN-OS) e CVE-2024-24919 (Check Point) imediatamente após divulgacao pública. ## Campanhas Notaveis | Período | Campanha | CVEs/Método | Setores Alvo | |---------|----------|-------------|--------------| | 2017-2020 | Exploração VPN inicial | Citrix, F5, Pulse Secure | Governo, defesa, saúde EUA | | 2020 | Pay2Key Hack-and-Leak | Exchange exploits | Empresas Israel | | 2023-2024 | Colaboracao ALPHV/NoEscape | CVE-2023-3519, CVE-2022-1388 | Escolas, governo, saúde EUA | | 2024 | VPN Mass Scanning | CVE-2024-3400, CVE-2024-24919 | Global - governo, defesa, saúde | | 2024 | Access Broker Operations | Multi-CVE | Acesso global vendido a ransomware gangs | ## Arsenal - Cadeia de Ataque VPN ```mermaid graph TB A["Reconhecimento Shodan<br/>T1596 - Varredura em massa<br/>VPNs e firewalls expostos"] --> B["Exploração VPN/Firewall<br/>T1190 - CVE n-day<br/>PAN-OS / Check Point / Citrix / F5"] B --> C["Web Shell Deploy<br/>T1505.003<br/>Netscaler PHP / IIS shells"] C --> D["Credential Capture<br/>T1552 / T1056<br/>Credenciais de dominio"] D --> E["Domain Admin Access<br/>T1482 - Domain discovery<br/>Ligolo tunneling + ngrok"] E --> F1["Espionagem IRGC<br/>Roubo de dados tecnicos<br/>Informacoes governamentais"] E --> F2["Ransomware Handoff<br/>Venda de acesso<br/>ALPHV / NoEscape / RansomHouse"] classDef recon fill:#34495e,color:#fff,stroke:#2c3e50 classDef exploit fill:#c0392b,color:#fff,stroke:#922b21 classDef shell fill:#e67e22,color:#fff,stroke:#d35400 classDef creds fill:#8e44ad,color:#fff,stroke:#6c3483 classDef domain fill:#2980b9,color:#fff,stroke:#1a5276 classDef intel fill:#196f3d,color:#fff,stroke:#145a32 classDef ransom fill:#7f8c8d,color:#fff,stroke:#6c7a7d class A recon class B exploit class C shell class D creds class E domain class F1 intel class F2 ransom ``` ## CVEs Exploradas Ativamente | CVE | Produto | CVSS | Uso pelo Grupo | |-----|---------|------|----------------| | CVE-2024-3400 | Palo Alto PAN-OS GlobalProtect | 10.0 | Scanning massivo desde abr 2024 | | CVE-2024-24919 | Check Point Security Gateway | 8.6 | Scanning massivo desde jul 2024 | | CVE-2024-21887 | Ivanti Connect Secure | 9.1 | Exploração ativa | | CVE-2023-3519 | Citrix NetScaler ADC/Gateway | 9.8 | Web shells + credential harvest | | CVE-2022-1388 | F5 BIG-IP iControl REST | 9.8 | RCE para acesso inicial | | CVE-2019-19781 | Citrix ADC | 9.8 | Historico - ainda presente | ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1530-data-from-cloud-storage|T1530 - Data from Cloud Storage]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1110-brute-force|T1110 - Brute Force]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1021-005-vnc|T1021.005 - VNC]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1482-domain-trust-discovery|T1482 - Domain Trust Discovery]] - [[t1657-financial-theft|T1657 - Financial Theft]] ## Software Utilizado - [[s0020-china-chopper|China Chopper]] - Web shell multipropósito - [[s0556-pay2key|Pay2Key]] - Ransomware customizado para ataques contra Israel (2020) - [[s0508-ngrok|ngrok]] - Tunneling para conexoes de saida (evasão de detecção) - [[ligolo|Ligolo]] - Protocol tunneling para acesso lateral - [[anydesk|AnyDesk]] - RMM legítimo para persistência como backup de acesso - [[psexec|PsExec]] - Movimento lateral ## Relevância para o Brasil e LATAM Fox Kitten representa **risco alto e imediato** para o Brasil por dois motivos convergentes: **1. Brasil e grande usuario de dispositivos vulneraveis:** Organizacoes brasileiras nos setores de governo, saúde e financeiro sao grandes consumidoras de Palo Alto, Fortinet, Citrix e F5 - exatamente os produtos alvejados pelo grupo. A velocidade de patching no Brasil e frequentemente inferior ao ritmo de exploração do grupo. **2. O modelo de broker de acesso nao discrimina por geopolitica:** Como Fox Kitten vende acesso a afiliados de ransomware, uma organização brasileira comprometida se torna produto vendavel a qualquer grupo criminoso interessado, independente de relevância geopolitica para o Ira. Os setores **saúde, educação e municipios/governo** brasileiro sao especialmente vulneraveis - exatamente o perfil de vitimas documentadas nos EUA (escolas, governo municipal, instalacoes de saúde). > **Acao imediata:** Verificar se dispositivos Palo Alto GlobalProtect, Check Point Security Gateway, Citrix NetScaler e F5 BIG-IP estao com patches aplicados para os CVEs listados. Monitorar criação de contas locais e instalacoes de ngrok ou AnyDesk em ambientes corporativos. ## Detecção e Defesa **Indicadores chave:** - Instalacao do directorio `/var/vpn/themes/imgs/` em dispositivos Citrix NetScaler (web shell staging) - Arquivos netscaler.1, netscaler.php em diretorios web - Instalacao de AnyDesk como método de persistência de backup - Conexoes de saida via ngrok ou dominios `ngrok.io` - Criação de contas locais sem justificativa em domain controllers **Mitigacoes prioritarias:** - [[m1051-update-software|M1051 - Updaté Software]] - Patching imediato de VPNs e firewalls - [[m1030-network-segmentation|M1030 - Network Segmentation]] - Isolamento de dispositivos de borda - [[m1036-account-use-policies|M1036 - Account Use Policies]] - Auditoria de contas locais criadas - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - Monitoramento de Domain Admin ## Referências - [1](https://attack.mitre.org/groups/G0117/) MITRE ATT&CK - G0117 Fox Kitten (2024) - [2](https://www.ic3.gov/CSA/2024/240828.pdf) FBI/CISA/DC3 - Iran-based Cyber Actors Enabling Ransomware Attacks (2024) - [3](https://www.helpnetsecurity.com/2024/08/28/pioneer-kitten-iranian-hackers-partnering-with-ransomware-affiliates/) Help Net Security - Pioneer Kitten Ransomware Affiliates (2024) - [4](https://www.csoonline.com/article/3498397/iranian-threat-actors-targeting-businesses-and-governments-cisa-microsoft-warn.html) CSO Online - CISA Microsoft Pioneer Kitten Warning (2024) - [5](https://areteir.com/resources/iranian-hackers-working-with-ransomware-groups) Arete IR - Iranian Hackers Ransomware Groups (2024) - [6](https://www.picussecurity.com/resource/iranian-threat-actors-what-defenders-need-to-know) Picus Security - Iranian Threat Actors (2026)