# Integrity Technology Group > [!danger] Empresa Chinesa Sancionada como Operadora de Botnet de Estado > A **Integrity Technology Group** e uma empresa de tecnologia de Pequim, de capital aberto, identificada pelo FBI e pelo Departamento de Justica dos EUA como operadora da botnet **Raptor Train** em nome de agencias de segurança do governo chines. Controlou mais de **260.000 dispositivos comprometidos** globalmente e foi sancionada pelo Tesouro dos EUA em janeiro de 2025. Rastreada pelo setor privado como **Flax Typhoon**. ## Visão Geral A **Integrity Technology Group** (também conhecida como Integrity Tech) e uma empresa de segurança cibernetica com sede em Pequim que se apresenta públicamente como fornecedora de soluções de simulacao de rede, treinamento em segurança e competicoes de cibersegurança. No entanto, investigacoes do FBI concluiram que a empresa opera como front para operações de espionagem cibernetica do governo chines, sendo atribuida ao grupo rastreado pelo setor privado como **Flax Typhoon** (também chamado Ethereal Panda e RedJuliett). Ativa desde pelo menos 2021, a Flax Typhoon comprometeu organizacoes em Taiwan, América do Norte, Europa e outras regioes - com foco particular em entidades governamentais, militares, de telecomúnicacoes e de manufatura critica. O principal vetor operacional foi uma infraestrutura de botnet chamada **Raptor Train**, construida sobre dezenas de milhares de dispositivos SOHO e IoT comprometidos em todo o mundo. Em setembro de 2024, o FBI liderou uma operação internacional que desmantelou a Raptor Train, removendo o malware de dispositivos infectados. Os operadores tentaram interferir usando um ataque DDoS contra a infraestrutura do FBI - que foi bloqueado com sucesso. Em janeiro de 2025, o Departamento do Tesouro dos EUA sancionou formalmente a Integrity Technology Group pelo papel em ataques a infraestrutura critica americana. **Relevância para LATAM:** Embora o foco primario da Flax Typhoon sejam Taiwan, EUA e Europa, a botnet Raptor Train incluiu dispositivos na América do Sul (800 dispositivos identificados) e o modelo de operação via dispositivos IoT comprometidos nao respeita fronteiras geograficas. Roteadores e cameras IP de marcas comuns no Brasil foram incluidos na botnet. Organizacoes de telecomúnicacoes e governo na regiao devem monitorar vulnerabilidades em dispositivos de rede SOHO. ## Raptor Train - A Maior Botnet IoT Chinesa Revelada A **Raptor Train** e uma das maiores botnets de estado chines já descobertas: - **Escala**: Mais de 260.000 dispositivos ativos em junho de 2024; mais de 1,2 milhao de registros historicos - **Tipos de dispositivo**: Roteadores SOHO, cameras IP, DVRs/NVRs, servidores NAS - mais de 20 modelos (ASUS, D-Link, NETGEAR, TP-Link, Hikvision) - **Malware base**: Variante customizada do Mirai com capacidades adicionais de proxy e DDoS - **Capacidades**: Proxy de trafego, ataques DDoS, entrega de malware secundario, reconhecimento e scanning de vulnerabilidades ### Arquitetura de 3 Camadas ```mermaid graph TB A["Tier 1 - Dispositivos Infectados<br/>Roteadores SOHO / Cameras IP<br/>NAS / DVR - 260.000+ devices"] --> B["Tier 2 - Servidores de Exploração<br/>Payload servers<br/>Servidores C2"] B --> C["Tier 3 - Gerenciamento Central<br/>Nodes de administracao<br/>Aplicação Sparrow (Electron)"] C --> D["Operadores Integrity Tech<br/>Interface KRLab / vulnerability-arsenal<br/>IPs China Únicom Beijing"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff ``` ### Distribuição Geografica das Vitimas | Regiao | Dispositivos | |--------|-------------| | América do Norte | 135.300 | | Europa | 65.600 | | Asia | 50.400 | | Africa | 9.200 | | Oceania | 2.400 | | América do Sul | 800 | ## Linha do Tempo ```mermaid timeline title Integrity Technology Group / Flax Typhoon 2021 : Primeiras atividades documentadas Foco inicial em Taiwan e Sudeste Asiatico 2023-06 : Raptor Train atinge pico de 60.000 dispositivos ativos 2023-08 : Microsoft publica análise da Flax Typhoon Minimal malware use e living-off-the-land TTPs 2024-07 : Black Lotus Labs identifica a botnet Raptor Train 2024-09 : FBI desmantela Raptor Train internacionalmente DDoS contra infraestrutura do FBI e bloqueado DoJ atribui formalmente a Integrity Technology Group 2025-01 : Tesouro dos EUA sanciona Integrity Technology Group (OFAC) ``` ## TTPs Principais | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de vulnerabilidades em dispositivos IoT/SOHO | | Reconnaissance | [[t1595-002-vulnerability-scanning\|T1595.002]] | Scanning massivo global de dispositivos de rede | | Initial Access | [[t1133-external-remote-services\|T1133]] | Uso de VPN e RDP para acessar sistemas comprometidos | | Lateral Movement | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP para acesso a hosts de entidades nos EUA e Europa | | C2 | [[t1572-protocol-tunneling\|T1572]] | Tunelamento de trafego através de dispositivos comprometidos | | Resource Development | [[t1587-001-malware\|T1587.001]] | Desenvolvimento de variante customizada do Mirai | ## Detecção e Defesa > [!tip] Indicadores de Compromisso em Dispositivos IoT > - Dispositivos SOHO gerando trafego de rede incomum ou em horarios atipicos > - Conexoes de saida para IPs China Únicom Beijing Province Network inesperadas > - Dispositivos com processos desconhecidos ou firmware modificado sem atualização oficial > - Aumento de trafego de scanning originado de IPs residenciais ou SOHO na rede > - Tentativas de login por forca bruta em dispositivos de rede gerenciados > [!info] Mitigacoes Recomendadas > - Atualizar firmware de roteadores, cameras IP e dispositivos NAS regularmente > - Segmentar dispositivos IoT em VLANs separadas da rede corporativa principal > - Desabilitar UPnP e servicos de gerenciamento remoto desnecessários > - Substituir equipamentos fora de suporte que nao recebem mais atualizacoes de segurança > - Monitorar trafego de saida anomalo originado de dispositivos de rede ## Referências - [1](https://thehackernews.com/2024/09/new-raptor-train-iot-botnet-compromises.html) The Hacker News - New Raptor Train IoT Botnet Compromises Over 200,000 Routers (2024) - [2](https://www.justice.gov/archives/opa/pr/court-authorized-operation-disrupts-worldwide-botnet-used-peoples-republic-china-state) DoJ - Court-Authorized Operation Disrupts Worldwide Botnet by PRC State Hackers (2024) - [3](https://www.securityweek.com/us-sanctions-chinese-firm-linked-to-flax-typhoon-attacks-on-critical-infrastructure/) SecurityWeek - US Sanctions Integrity Technology Group Linked to Flax Typhoon (2025) - [4](https://cyberscoop.com/fbi-operation-china-botnet-flax-typhoon/) CyberScoop - FBI joint operation takes down massive Chinese botnet (2024) - [5](https://www.securityweek.com/us-disrupts-raptor-train-botnet-of-chinese-apt-flax-typhoon/) SecurityWeek - US Disrupts Raptor Train Botnet of Chinese APT Flax Typhoon (2024) **Botnet:** [[raptor-train-botnet|Raptor Train Botnet]] **Malware:** [[mirai|Mirai (variante)]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1595-002-vulnerability-scanning|T1595.002]] · [[t1572-protocol-tunneling|T1572]] · [[t1133-external-remote-services|T1133]] **Setores alvo:** [[government|Governo]] · [[military|Militar]] · [[telecommunications|Telecomúnicacoes]] · [[critical-infrastructure|Infraestrutura Critica]] **Relacionados:** [[g1017-volt-typhoon|Volt Typhoon]] · [[g1045-salt-typhoon|Salt Typhoon]] · [[g0125-silk-typhoon|Silk Typhoon]]