# Volt Typhoon > [!danger] APT Estatal — China | Pré-Posicionamento em Infraestrutura Crítica EUA > **Volt Typhoon** (MITRE G1017) é um grupo chinês com objetivo estratégico de **pré-posicionamento** em infraestrutura crítica americana para disrupção em caso de conflito com Taiwan. Opera exclusivamente via Living-off-the-Land (LOTL), evitando malware customizado para máxima furtividade. ## Visão Geral Volt Typhoon representa uma mudança de paradigma em ameaças de estado-nação: ao invés de focar em espionagem convencional ou roubo de dados, o grupo tem como objetivo estratégico infiltrar e **pré-posicionar** acesso em infraestrutura crítica americana para uso em caso de um conflito militar relacionado a Taiwan. O CISA, NSA e FBI emitiram advisory conjunto em maio de 2023 identificando o grupo e seus TTPs. O diferencial técnico do Volt Typhoon é o uso exclusivo de técnicas **Living-off-the-Land (LOTL)**: ferramentas nativas do Windows (wmic, ntdsutil, netsh, certutil), binários do sistema operacional e credenciais legítimas para se mover lateralmente. Isso torna detecção extremamente difícil pois o grupo não deixa rastros de malware convencional. Em janeiro de 2024, o FBI e DOJ confirmaram operação para desmantelar a botnet KV Botnet do Volt Typhoon, composta por roteadores domésticos e SOHO comprometidos como infraestrutura de relay — uma rede de centenas de dispositivos nos EUA usada para mascarar tráfego de C2. Para o Brasil e a América Latina, o Volt Typhoon representa risco indireto: empresas brasileiras com operações nos EUA ou que fornecem serviços de rede a organizações americanas podem ser alvos de comprometimento como parte da infraestrutura de relay do grupo. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nScanning público\nFortinet / Cisco vulns] --> B[Acesso Inicial\nExploit VPN/Firewall\nCVE-2022-40684 Fortinet] B --> C[LOTL\nWMIC / Netsh\nNtdsutil / Certutil] C --> D[Persistência\nCredenciais válidas\nSem malware custom] D --> E[Pré-posicionamento\nAcesso latente mantido\nInfra crítica EUA] E --> F[Ativação futura\nDisrupção em conflito\nSabotagem ICS/OT] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Aplicação Pública | [[t1190-exploit-public-facing-application\|T1190]] | Fortinet, Cisco, Veritas CVEs | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais de administradores VPN | | Mascaramento LOTL | [[t1036-masquerading\|T1036]] | Binários legítimos do Windows (wmic, netsh) | | Bridge de Rede | [[t1599-network-boundary-bridging\|T1599]] | Pivoting via roteadores SOHO comprometidos | ## Detecção e Defesa - Auditar uso de ferramentas administrativas nativas (wmic, ntdsutil, certutil) em horários incomuns - Implementar monitoramento de linha de base de comportamento de administradores - Aplicar patches imediatos em VPNs e firewalls de borda (Fortinet, Cisco, Palo Alto) - Verificar dispositivos SOHO/IoT da rede por comprometimento (KV Botnet) - Consultar [[ds0017-command|DS0017]] para detecção de uso anômalo de ferramentas LOTL ## Referências - MITRE ATT&CK: [Volt Typhoon G1017](https://attack.mitre.org/groups/G1017/) - CISA/NSA/FBI Advisory AA23-144A: Volt Typhoon (2023) - FBI: KV Botnet Disruption Operation (2024) - Microsoft MSTIC: Volt Typhoon targeting US critical infrastructure (2023) - Mandiant: Volt Typhoon pre-positioning analysis (2024)