# Salt Typhoon > [!warning] **Salt Typhoon** é um grupo de ameaça atribuído a **China** ativo desde **2019**. ## Perfil **Salt Typhoon** (também rastreado como GhostEmperor, FamousSparrow, UNC2286 e Earth Estries) e um ator de ameaça patrocinado pelo Estado chines, atribuido ao Ministerio de Segurança do Estado (MSS) da República Popular da China. Ativo desde pelo menos 2019, o grupo ficou internacionalmente conhecido em 2024 ao comprometer nove grandes operadoras de telecomúnicacoes norte-americanas e dezenas de provedores globais em mais de 80 paises. **Visão geral:** - Origem: China (MSS - Ministerio de Segurança do Estado) - Motivacao: espionagem estratégica - coleta de inteligência sobre comúnicacoes de autoridades, militares e politicos - Atividade confirmada: 2019 até o presente - Confiança de atribuicao: alta - attributions públicas por FBI, CISA, NSA e 12 nacoes aliadas - Relevância para LATAM: moderada-alta - +60% de vitimas em LATAM documentadas em 2024-2025 **Descrição:** O [[g1045-salt-typhoon|Salt Typhoon]] representa uma das operações de espionagem de telecomúnicacoes mais sofisticadas já documentadas. O grupo comprometeu a infraestrutura de core networks de operadoras de telecomúnicacoes, obtendo acesso a sistemas legais de interceptação (lawful intercept), gravacoes de chamadas, metadados de comúnicacoes e dados de campanhas politicas presidenciais norte-americanas - tudo sem ser detectado por períodos de dois a tres anos. Diferente de outros APTs chineses que buscam IP industrial, o Salt Typhoon foca em **inteligência de comúnicacoes (SIGINT)**, comprometendo a camada de infraestrutura que processa trafego de governo, militares e figuras politicas. ### Attack Flow Tipica - Salt Typhoon ```mermaid graph TB A["Exploit N-Day<br/>VPN / Firewall"] --> B["Config Dump<br/>SNMP / TACACS"] B --> C["SSH Persistence<br/>Authorized Keys"] C --> D["Network Sniffing<br/>JumbledPath"] D --> E["Wiretap Access<br/>Lawful Intercept"] E --> F["SIGINT Exfil<br/>Proxy Anonimizado"] classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff classDef azul fill:#3498db,stroke:#2980b9,color:#fff class A,B vermelho class C,D laranja class E,F azul ``` **Legenda:** Exploração de dispositivos de rede sem patch para dump de configurações, persistência via chaves SSH, captura de pacotes com JumbledPath em core networks de telecoms, acesso a sistemas de interceptação legal e exfiltração de SIGINT via proxies anonimizados. ## Campanhas Recentes (2024-2026) ### Salt Typhoon US Telecom 2024 - Operação de Espionagem em Massa A maior campanha documentada do grupo comprometeu **nove operadoras de telecomúnicacoes norte-americanas** confirmadas: **AT&T**, **Verizon**, **T-Mobile**, Consolidated Commúnications, Lumen, Spectrum, Windstream, alem de telcos europeias e infraestrutura global. **Timeline da campanha:** - **Janeiro 2024**: Probing SS7 de endpoints para reconhecimento de topologia - **Marco 2024**: Ataques a cadeia de suprimentos de telecomúnicacoes; comprometimento da National Guard do Exercito norte-americano com roubo de credenciais de administrador e mapas de rede - **Junho 2024**: Implantação de malware customizado em core networks - **Setembro 2024**: FBI e CISA divulgam públicamente a campanha; nove operadoras afetadas confirmadas - **Novembro 2024**: Anuncio de comprometimentos de telcos globais; advisory conjunto NSA + 12 nacoes - **Agosto 2025**: Joint CSA com NSA, 12 nacoes, AWS, Cisco, CrowdStrike, Mandiant, Microsoft públicado - **Janeiro 2026**: Hackeamento confirmado de emails do Congresso norte-americano; AT&T/Verizon bloqueiam divulgacao de avaliacoes de segurança **Impacto confirmado:** - Acesso a sistemas de interceptação legal (wiretaps) comprometidos por até tres anos sem detecção - Gravacoes de chamadas e metadados de campanhas presidenciais norte-americanas capturados - Mais de 80 paises afetados globalmente, com LATAM reportando +60% de vitimas em 2024-2025 - Africa (+47% vitimas), Asia (+82% vitimas) no mesmo período ## Arsenal de Malware | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s1206-jumbledpath\|JumbledPath]] | Malware customizado | Captura remota de pacotes via jump-hosts; compressao e cifragem de dados para exfiltração; limpeza de logs (T1070) | | [[ghostspider\|GhostSpider]] | Backdoor customizado | Manutenção de acesso persistente pos-exploração em infraestrutura de rede | | [[snappybee\|SnappyBee]] | Malware customizado | Arsenal adicional de coleta e persistência | | [[demodex\|Demodex]] | Rootkit | Persistência sobrevivendo a reboots - implantado em dispositivos de rede | | [[trillclient\|TrillClient]] | Infostealer | Coleta de credenciais de browsers; exfiltração de dados sensiveis | | [[s0154-cobalt-strike\|Cobalt Strike]] | Framework de C2 | Movimento lateral e execução pos-exploração | ## TTPs Mapeados | Tática | Técnica | ID ATT&CK | Descrição | |--------|---------|-----------|-----------| | Reconnaissance | Network Topology | [[t1590-004-network-topology\|T1590.004]] | Mapeamento de topologia via dump de configs de dispositivos de rede | | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de firewalls, VPNs e Exchange servers sem patch (N-days) | | Credential Access | Password Cracking | [[t1110-002-password-cracking\|T1110.002]] | Quebra de strings SNMP R/W extraidas de configs de dispositivos | | Persistence | SSH Authorized Keys | [[t1098-004-ssh-authorized-keys\|T1098.004]] | Adicao de chaves SSH para acesso persistente sem credenciais | | Defense Evasion | Disable Firewall | [[t1562-004-disable-or-modify-system-firewall\|T1562.004]] | Reatribuicao de loopback IP para SSH; modificacao de servidores AAA para bypass de ACLs | | Collection | Network Sniffing | [[t1040-network-sniffing\|T1040]] | JumbledPath para captura de pacotes SNMP, TACACS, RADIUS em infraestrutura de rede | | Collection | Network Device Config Dump | [[t1602-002-network-device-configuration-dump\|T1602.002]] | Extração de configuracoes de dispositivos para reconhecimento adicional | | C2 | Protocol Tunneling | [[t1572-protocol-tunneling\|T1572]] | Tunelamento de trafego C2 para evadir detecção de rede | | Defense Evasion | Clear Linux Logs | [[t1070-002-clear-linux-or-mac-system-logs\|T1070.002]] | Remoção de logs após operações para dificultar forense | | Exfiltration | Unencrypted Non-C2 | [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol\|T1048.003]] | Exfiltração de dados via proxies anonimizados e file-sharing | ## Vitimas e Setores **Setores primarios:** - [[telecommunications|Telecomúnicacoes]] - core networks, sistemas de interceptação legal, SS7/signaling - [[government|Governo]] - agencias governamentais, militares, campanhas politicas - [[technology|Tecnologia]] - provedores de servicos de TI e internet - [[transportation|Transporte]] e hospedagem **Geografia ampliada (2024-2025):** O grupo expandiu significativamente seu escopo geografico, com vitimas confirmadas em mais de 80 paises. América Latina registrou +60% de aumento de vitimas documentadas, com conexoes confirmadas por telcos regionais que servem como intermediarias para trafego transatlantico. ## Relevância para o Brasil e LATAM > [!warning] Ameaça Confirmada para Telecomúnicacoes da Regiao > O Salt Typhoon comprometeu provedores de telecomúnicacoes em escala global, com +60% de aumento de vitimas em LATAM documentado em 2024-2025. Operadoras brasileiras e latino-americanas que conectam trafego para os EUA ou Europa sao alvos potenciais de comprometimento de cadeia de fornecimento de telecomúnicacoes. **Vetores de risco para o Brasil:** - **Backbone de telecomúnicacoes**: operadoras nacionais com conexoes internacionais (cabos submarinos, pontos de troca de trafego) representam alvos de interesse para SIGINT chinesa - **Infraestrutura de governo**: entidades governamentais brasileiras que comúnicam via redes de telecomúnicacoes comerciais - **Dispositivos de borda desatualizados**: roteadores e firewalls sem patch sao o vetor de acesso inicial preferido do grupo - o CVE-2018-0171 (Cisco) e frequentemente sem patch em infraestrutura legada brasileira - **Interceptação de comúnicacoes diplomaticas**: embaixadas e representacoes diplomaticas utilizando infraestrutura local de telecomúnicacoes **Indicadores comportamentais (sem IoC específico):** - Acessos SSH em horarios atipicos a dispositivos de rede de backbone - Modificacoes de configuração em servidores AAA e sistemas de autenticação - Trafego incomum em portas SNMP/TACACS em infraestrutura de core network - Presence de arquivos de captura de pacotes comprimidos em dispositivos de rede ## Referências - [NSA/CISA - Joint Advisory on Salt Typhoon TTPs (Agosto 2025)](https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/article/4287371/) - [CISA/FBI - People's Republic of China Targeting of Commercial Telecommúnications (Setembro 2024)](https://www.cisa.gov/news-events/alerts/2024/09/24/peoples-republic-china-targeting-commercial-telecommunications) - [HackTheBox - Salt Typhoon APT US Telecom Analysis](https://www.hackthebox.com/blog/salt-typhoon-apt-us-telecom-espionage-attack-analysis) - [Perkins Coie - Salt Typhoon Updated Threat Assessment 2025](https://perkinscoie.com/insights/update/salt-typhoon-cyberattacks-updated-threat-assessment-and-recommended-mitigations) - [MITRE ATT&CK - Salt Typhoon (G1045)](https://attack.mitre.org/groups/G1045) **Atores relacionados:** [[g1017-volt-typhoon|Volt Typhoon]] · [[g0096-apt41|APT41]] · [[g0125-silk-typhoon|HAFNIUM]] **Campanhas:** [[salt-typhoon-us-telecom-2024|Salt Typhoon US Telecom 2024]] **Malware e ferramentas:** [[s1206-jumbledpath|JumbledPath]] · [[ghostspider|GhostSpider]] · [[demodex|Demodex]] · [[trillclient|TrillClient]] · [[s0154-cobalt-strike|Cobalt Strike]] **TTPs principais:** [[t1190-exploit-public-facing-application|T1190]] · [[t1040-network-sniffing|T1040]] · [[t1602-002-network-device-configuration-dump|T1602.002]] · [[t1098-004-ssh-authorized-keys|T1098.004]] · [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003]] **Setores alvejados:** [[telecommunications|Telecomúnicacoes]] · [[government|Governo]] · [[technology|Tecnologia]] · [[transportation|Transporte]] ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.