# Fox Kitten - Colaboração Ransomware 2024 > [!high] APT iraniano fornece acesso para gangues de ransomware > O **Fox Kitten** (também rastreado como Pioneer Kitten ou UNC757) é um grupo APT iraniano que em 2024 intensificou uma colaboração direta com grupos de ransomware, vendendo acesso inicial a redes comprometidas para grupos como **ALPHV/BlackCat**, **NoEscape** e outros. Este modelo de "acesso como serviço" representa uma perigosa fusão de espionagem estatal e cibercrime financeiro. ## Visão Geral O Fox Kitten, também conhecido como Pioneer Kitten e rastreado como UNC757 pelo Mandiant, é um grupo de ameaça persistente avançada com nexo ao governo iraniano, ativo desde pelo menos 2017. O grupo é conhecido por sua especialização em exploração de vulnerabilidades em dispositivos de borda (VPNs, firewalls, servidores web) para obter acesso inicial a redes corporativas e governamentais. A campanha de 2024 marcou uma escalada significativa nas operações do Fox Kitten: o grupo passou a colaborar ativamente com gangues de ransomware, fornecendo acesso a redes já comprometidas em troca de pagamento. Isso representa uma hibridização de motivações - espionagem patrocinada pelo Estado combinada com geração de receita via cibercrime. O CISA emitiu um alerta conjunto em agosto de 2024 sobre essa colaboração específica. O modelo de operação é distinto: o Fox Kitten não opera o ransomware diretamente, mas atua como Initial Access Broker (IAB) para grupos como [[s1068-alphvblackcat]], [[s1212-ransomhub]] e [[noEscape-ransomware]]. Após compromisso inicial usando CVEs em VPNs (principalmente Citrix, F5 e Palo Alto Networks), o acesso é "revendido" para afiliados de ransomware que executam a fase final do ataque. > [!latam] Relevância para o Brasil e LATAM > O **Fox Kitten** tem o Brasil listado explicitamente como país-alvo em documentação do CISA. Os CVEs explorados pelo grupo — em **Citrix**, **F5 BIG-IP**, **Palo Alto** e **Ivanti** — afetam appliances amplamente usados em data centers brasileiros. Os grupos de ransomware que adquirem acesso do Fox Kitten (**ALPHV/BlackCat**, **NoEscape**, **RansomHub**) atacam alvos globalmente de forma indiscriminada, incluindo empresas e órgãos governamentais latino-americanos. O setor de **saúde** e **governo** no Brasil são os mais expostos. Para o Brasil e LATAM, a relevância é dupla: primeiro, o Fox Kitten tem vitimado organizações em múltiplos setores globalmente, e segundo, os grupos de ransomware que adquirem acesso do Fox Kitten frequentemente atacam alvos indiscriminadamente ao redor do mundo, incluindo empresas e órgãos governamentais latino-americanos. O setor de [[healthcare]] e [[government]] são os mais afetados. ## Análise Técnica ### Modelo de Colaboração ```mermaid graph TB A["🌐 Fox Kitten<br/>APT Iraniano / Pioneer Kitten"] --> B["💥 Exploração de CVEs em VPNs<br/>Citrix / F5 / Palo Alto"] B --> C["🔓 Acesso Inicial Obtido<br/>Shell / Webshell / Tunnel"] C --> D["💰 Venda de Acesso<br/>Fóruns underground / Negociação direta"] D --> E["🦠 Ransomware Afiliado<br/>ALPHV / NoEscape / RansomHub"] E --> F["🔒 Deploy de Ransomware<br/>Criptografia e extorsão"] ``` ### CVEs Principais Explorados | CVE | Produto | CVSS | Ano | |-----|---------|------|-----| | CVE-2024-3400 | Palo Alto GlobalProtect | 10.0 | 2024 | | CVE-2023-46805 | Ivanti Connect Secure | 8.2 | 2023 | | CVE-2022-1388 | F5 BIG-IP | 9.8 | 2022 | | CVE-2019-19781 | Citrix ADC | 9.8 | 2019 | ### Infraestrutura de Persistência ```mermaid graph TB subgraph "Técnicas de Persistência Fox Kitten" A["🚪 Webshells<br/>FOXSHELL / custom ASP"] --> D["🎯 Acesso de Longo Prazo"] B["🔧 Ferramentas de Tunneling<br/>Ngrok / FRP / ligolo"] --> D C["👤 Contas Backdoor<br/>Contas VPN criadas"] --> D D --> E["💼 Broker de Acesso<br/>Venda para ransomware"] end ``` ## Alvos e Impacto O Fox Kitten tem vitimado organizações em setores críticos nos EUA, Israel, Azerbaijão e outros países. Os setores mais impactados incluem: - Governo e defesa - Healthcare e hospitais - Tecnologia e TI - Serviços financeiros - Infraestrutura crítica ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de CVEs em VPNs/firewalls | | External Remote Services | [[t1133-external-remote-services\|T1133]] | Abuso de VPN para persistência | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Via ransomware afiliado | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | Webshells para persistência | | Protocol Tunneling | [[t1572-protocol-tunneling\|T1572]] | Tunneling para C2 encoberto | ## Detecção e Defesa ### Indicadores de Comprometimento > [!ioc]- IOCs - Fox Kitten Ransomware Collab (TLP:GREEN) > **Ferramentas de tunneling:** > - Ngrok, FRP (Fast Reverse Proxy), ligolo > - Presença de executáveis com nomes aleatórios em diretórios temp > > **Webshells:** > - FOXSHELL e variantes em servidores web > - Arquivos .aspx ou .php recentes em diretórios do servidor VPN > > **Comportamento de rede:** > - Conexões de saída para ngrok.io ou domínios similares > - Tráfego incomum de tunelamento em portas não padrão > > **Fontes:** [CISA Advisory AA24-241A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a) · [Mandiant UNC757](https://www.mandiant.com) ### Mitigações 1. **Patching prioritário**: Aplicar patches para CVEs em dispositivos Citrix, F5, Palo Alto e Ivanti com máxima urgência 2. **Monitoramento de webshells**: Alertas para criação de arquivos em diretórios de aplicações web 3. **Bloqueio de tunneling**: Detectar e bloquear ferramentas de reverse tunneling (Ngrok, FRP) 4. **Auditoria de contas VPN**: Revisar contas criadas em sistemas de acesso remoto ## Referências - [CISA Advisory AA24-241A - Fox Kitten](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a) - [FBI Alert - Pioneer Kitten IAB Activity](https://www.ic3.gov) - [Mandiant UNC757 Profile](https://www.mandiant.com/resources)