# Volt Typhoon > [!warning] **Volt Typhoon** é um grupo de ameaça atribuído a **China** ativo desde **2021**. ## Perfil **Volt Typhoon** (também conhecido como BRONZE SILHOUETTE, Vanguard Panda e Voltzite) e um ator patrocinado pelo Estado da República Popular da China (RPC), ativo desde pelo menos 2021. Diferente da maioria dos APTs chineses que visam roubo de propriedade intelectual, o Volt Typhoon opera com um objetivo estratégico distinto: **pre-posicionamento em infraestrutura critica norte-americana** para viabilizar operações disruptivas ou destrutivas em caso de conflito militar com os EUA - particularmente em um cenário de crise envolvendo Taiwan ou o Pacifico. **Visão geral:** - Origem: China (patrocinio estatal - PLA/MSS) - Motivacao: pre-posicionamento estratégico para disrupcao futura; espionagem secundaria - Período confirmado: 2021 até o presente - Perfil de sofisticacao: extremamente alto - uso exclusivo de LOTL, zero malware customizado, dwell time de meses a anos - Reconhecimento oficial: CISA, FBI, NSA, Five Eyes, Microsoft (maio 2023) **Descrição:** O Volt Typhoon opera de forma fundamentalmente diferente dos APTs convencionais. O grupo **nao usa malware customizado** - depende exclusivamente de binarios e ferramentas legitimas já presentes nos sistemas alvo (Living-Off-The-Land / LOTL). Isso torna sua detecção extremamente dificil, pois suas acoes se misturam ao comportamento normal de administradores de sistemas. O objetivo nao e espionagem imediata, mas o acesso silencioso e persistente a sistemas de energia, agua, transportes e telecomúnicacoes para uso em um futuro momento de crise geopolitica. ### Attack Flow Tipica - Volt Typhoon ```mermaid graph TB A["Exploit Appliance<br/>FortiGate / Versa"] --> B["KV-Botnet Proxy<br/>Roteadores SOHO"] B --> C["LOTL Discovery<br/>netsh / ipconfig"] C --> D["Credential Dump<br/>Mimikatz / NTDS"] D --> E["RDP Lateral<br/>Sistemas Internos"] E --> F["Data Staging<br/>Manuais OT"] F --> G["Pre-Posicionamento<br/>Infra Critica"] classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff classDef azul fill:#3498db,stroke:#2980b9,color:#fff class A,B vermelho class C,D,E laranja class F,G azul ``` **Legenda:** Exploração de appliances de borda sem patch, proxy via botnet de roteadores SOHO, uso exclusivo de ferramentas LOTL nativas do Windows para reconhecimento, dump de credenciais e pré-posicionamento silencioso em infraestrutura crítica (energia, água, telecom). ## Campanhas Documentadas (2024-2026) ### KV-Botnet Activity O KV-Botnet e uma infraestrutura de malware implantada em roteadores SOHO (Small Office/Home Office) de fim-de-vida - principalmente **Cisco RV320/325** e **Netgear ProSafe** - para uso como proxies que mascaram o trafego C2 e ocultam as origens dos ataques. **Timeline:** - **Janeiro 2024**: FBI disrupta o KV-Botnet inicial, removendo malware de centenas de roteadores Cisco/Netgear por autorização judicial - **Setembro 2024**: Botnet se reconstroi em 37 dias, comprometendo ~30% dos roteadores Cisco RV320/325 expostos globalmente - **Novembro 2024**: FBI executa segunda disrupcao judicial do KV-Botnet - **2025**: Infraestrutura continua a ser reconstruida; atividade confirmada em energia, comúnicacoes e transporte ### Versa Director Zero-Day Exploitation Em 2024, o grupo explorou o **CVE-2024-39717** (vulnerabilidade de upload de arquivo no Versa Director, plataforma de SD-WAN amplamente usada por ISPs e empresas) para acesso inicial a redes de provedores de servicos. O exploit permitiu implantação do **[[s1154-versamem|VersaMem]]**, um web shell que intercepta credenciais. ### SingTel (Singapura - Junho 2024) Comprometimento confirmado da Singtel, maior operadora de telecomúnicacoes de Singapura, como "teste" de capacidade operacional fora dos EUA. Ponto de aténcao para operadoras de telecomúnicacoes de mercados emergentes. ## Arsenal LOTL - Ferramentas Legitimas Abusadas O Volt Typhoon nao usa malware no sentido tradicional. As "ferramentas" sao binarios nativos do Windows e softwares de administracao legitimos: | Ferramenta | Tipo | Uso pelo grupo | |-----------|------|----------------| | [[s0108-netsh\|netsh]] | Windows LOTL | Configuração de proxy e redirecionamento de portas para C2 | | [[s0100-ipconfig\|ipconfig]] | Windows LOTL | Reconhecimento de configuração de rede e interfaces | | [[s0096-systeminfo\|Systeminfo]] | Windows LOTL | Fingerprinting do sistema alvo | | [[s0645-wevtutil\|Wevtutil]] | Windows LOTL | Limpeza de logs de eventos Windows após operações | | [[s0057-tasklist\|Tasklist]] | Windows LOTL | Enumeracao de processos em execução | | [[mimikatz\|Mimikatz]] | Credential Dumping | Dump de NTDS.dit para quebra de senhas offline | | [[s0357-impacket\|Impacket]] | Framework Python | Movimento lateral e operações em ambientes Windows | | [[psexec\|PsExec]] | Sysinternals | Execução remota de comandos em sistemas comprometidos | | [[s1154-versamem\|VersaMem]] | Web shell customizado | Captura de credenciais em instancias Versa Director comprometidas | | SMSvcService.exe | FRP client disfarado | Cliente FRP (Fast Reverse Proxy) renomeado para mascarar C2 | ## TTPs Mapeados - MITRE ATT&CK | Tática | Técnica | ID | Detalhe | |--------|---------|-----|---------| | Resource Development | Compromise Network Devices | [[t1584-008-network-devices\|T1584.008]] | KV-Botnet em roteadores SOHO como infra de proxy | | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2024-39717 (Versa), CVE-2022-42475 (FortiGaté), CVE-2021-40539 (Zoho) | | Credential Access | Credentials from Password Stores | [[t1555-credentials-from-password-stores\|T1555]] | Extração offline de NTDS.dit para quebra de senhas | | Discovery | Network Service Discovery | [[t1046-network-service-discovery\|T1046]] | Mapeamento de servicos de rede para identificar sistemas OT adjacentes | | Discovery | Process Discovery | [[t1057-process-discovery\|T1057]] | Identificação de processos SCADA/OT em execução | | Discovery | Software Discovery | [[t1518-software-discovery\|T1518]] | Inventario de software para identificar sistemas criticos | | Lateral Movement | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP para acesso a sistemas internos após comprometimento inicial | | Defense Evasion | Match Legitimaté Name | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Renomeacao de ferramentas (ex: FRP como SMSvcService.exe) | | Defense Evasion | Clear Windows Event Logs | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Limpeza de logs via Wevtutil para dificultar forense | | Collection | Data Staged | [[t1074-data-staged\|T1074]] | Staging de documentos de infraestrutura critica (manuais OT, diagramas) | | Persistence | Proxy | [[t1090-proxy\|T1090]] | KV-Botnet como camada de proxy para mascarar trafego C2 | | Keylogging | Input Capture | [[t1056-001-keylogging\|T1056.001]] | Captura de credenciais de administradores de sistemas OT | ## Vitimas e Pre-Posicionamento O Volt Typhoon prioriza **acesso a ambientes proximos a sistemas de tecnologia operacional (OT)**, nao necessáriamente os proprios sistemas OT (que frequentemente estao air-gapped). O objetivo e estabelecer pontes IT-OT para ativacao futura. **Infraestrutura confirmada como alvo:** - **Energia**: utilities eletricas nos EUA; pre-posicionamento em sistemas de grid; possível acesso a subestacoes via ambientes de TI adjacentes - **Agua e Saneamento**: sistemas de cameras, pocas artesianas e plantas de tratamento via vCenter/PuTTY - **Telecomúnicacoes**: backbone de telecomúnicacoes dos EUA; SingTel (Singapura); infraestrutura de Guam (relevante para operações militares no Pacifico) - **Transportes**: porto e logistica - infraestrutura relevante para projecao de poder militar **Prioridade geografica:** Guam, Hawaii, Texas e Costa Oeste dos EUA sao prioridades por relevância para operações militares no Indo-Pacifico. ## Relevância para o Brasil e LATAM > [!info] Ameaça Indireta - Pre-posicionamento Global > Volt Typhoon foca primariamente em infraestrutura critica dos EUA para um cenário de conflito no Indo-Pacifico. No entanto, organizacoes brasileiras e latino-americanas que gerenciam infraestrutura para multinacionais americanas, ou que operam como nos intermediarios em redes de telecomúnicacoes transatlanticas, enfrentam risco de comprometimento lateral. **Vetores de risco indireto para a regiao:** - **Fornecedores de TI para infraestrutura critica**: empresas brasileiras que gerenciam sistemas de energia, agua ou telecomúnicacoes para clientes multinacionais podem ser alvos de island-hopping - **Roteadores SOHO sem patch**: o KV-Botnet compromete roteadores desatualizados globalmente - infraestrutura de pequenas empresas e provedores regionais brasileiros sao alvos potenciais de recrutamento na botnet - **Segmentacao OT/IT inadequada**: organizacoes de energia e agua brasileiras com fronteiras IT/OT porosas replicam exatamente o perfil de vulnerabilidade explorado pelo grupo - **Dispositivos FortiGaté/Versa sem patch**: equipamentos usados amplamente por ISPs e empresas brasileiras, frequentemente sem atualização de segurança em tempo habil **Recomendacoes prioritarias:** - Substituir ou isolar roteadores SOHO de fim-de-vida (Cisco RV320/325, Netgear ProSafe legados) - Aplicar patches criticos em FortiGaté (CVE-2022-42475) e plataformas Versa (CVE-2024-39717) - Implementar segmentacao rigida IT/OT com monitoramento de trafego entre zonas - Habilitar detecção de LOTL via análise comportamental (nao apenas assinaturas) - Monitorar uso anormal de ferramentas nativas (wevtutil, netsh, ipconfig) em horarios atipicos ## Referências - [CISA/FBI/NSA - Joint Advisory on PRC-Sponsored Volt Typhoon (Maio 2023)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a) - [CISA/FBI/NSA - KV-Botnet Joint Advisory (Janeiro 2024)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a) - [FBI - Disruption of KV-Botnet (Novembro 2024)](https://www.justice.gov/opa/pr/us-government-disrupts-botnet) - [IISS Analysis - Volt Typhoon Infrastructure Targeting (Fevereiro 2026)](https://industrialcyber.co/industrial-cyber-attacks/iiss-notes-volt-typhoons-targeting-of-us-infrastructure-signals-disruptive-intent-beyond-espionage/) - [MITRE ATT&CK - Volt Typhoon (G1017)](https://attack.mitre.org/groups/G1017) **Atores relacionados:** [[g1045-salt-typhoon|Salt Typhoon]] · [[g0096-apt41|APT41]] **Campanhas:** [[kv-botnet-activity|KV Botnet Activity]] · [[versa-director-zero-day-exploitation|Versa Director Zero Day Exploitation]] **Ferramentas (LOTL):** [[s0108-netsh|netsh]] · [[s0645-wevtutil|Wevtutil]] · [[mimikatz|Mimikatz]] · [[s1154-versamem|VersaMem]] · [[s0357-impacket|Impacket]] **CVEs exploradas:** [[cve-2024-39717|CVE-2024-39717]] · [[cve-2022-42475|CVE-2022-42475]] **TTPs principais:** [[t1190-exploit-public-facing-application|T1190]] · [[t1078-valid-accounts|T1078]] · [[t1584-008-network-devices|T1584.008]] · [[t1070-001-clear-windows-event-logs|T1070.001]] · [[t1090-proxy|T1090]] **Setores alvejados:** [[critical-infrastructure|Infraestrutura Critica]] · [[energy|Energia]] · [[water|Agua]] · [[telecommunications|Telecomúnicacoes]] · [[transportation|Transporte]] ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.