# Raptor Train Botnet > [!high] Maior Botnet Estatal Chinesa Documentada - 260.000 Dispositivos IoT > A **Raptor Train** é a maior botnet de dispositivos IoT patrocinada pelo Estado chinês já documentada, operada pelo grupo **Flax Typhoon** vinculado à empresa Integrity Technology Group. Desmantelada pelo FBI em setembro de 2024, a botnet controlou até 260.000 roteadores e câmeras em mais de 20 países, incluindo o **Brasil**, usando o implante **Nosedive** baseado no código do Mirai. ## Visão Geral **Raptor Train** é uma botnet de dispositivos IoT e SOHO operada pelo grupo [[flax-typhoon]], vinculado à empresa chinesa de "segurança" [[integrity-technology-group]] (também chamada Yongxin Zhicheng). A botnet foi revelada e desmantelada pelo FBI em setembro de 2024, sendo descrita como a **maior operação de botnet patrocinada pelo Estado chinês** já documentada. No auge, a Raptor Train controlava aproximadamente **260.000 dispositivos comprometidos** em mais de 20 países, com infraestrutura de três camadas (Tier 1-2-3) gerenciada pelo framework proprietário "Sparrow". O **Brasil** é específicamente mencionado como localização significativa de nós Tier 1 (dispositivos infectados). O implante no dispositivos é baseado no **Mirai** e foi apelidado pelos pesquisadores de **Nosedive** - uma variante customizada do código Mirai com capacidades estendidas para espionagem e tunelamento de tráfego. ## Características Técnicas ### Arquitetura de Três Camadas | Camada | Componentes | Função | |--------|-------------|--------| | Tier 1 | Dispositivos IoT/SOHO infectados | Nós da botnet - executam o implante Nosedive | | Tier 2 | Servidores de C2 intermediários | Proxies C2, roteamento de comandos | | Tier 3 | Infraestrutura central | Plataforma Sparrow de gerenciamento | ### Implante Nosedive (Mirai-based) O implante **Nosedive** é uma variante customizada do código-fonte do Mirai com adições específicas: - **Comúnicação C2**: TCP via Tier 2, com criptografia XOR - **Autopreservação**: impede execução paralela de outras instâncias - **DDoS**: capacidade de floods (TCP SYN, UDP, HTTP) - **Proxy SOCKS5**: tunelamento de tráfego de reconhecimento e operações do ator - **Persistência**: modificação de cron jobs ou scripts de boot do dispositivo - **Download de payloads**: execução de ferramentas adicionais baixadas do C2 ### Framework Sparrow O Sparrow é a plataforma de gerenciamento da botnet, operando no Tier 3: - Interface web para gerenciamento de nós - Capacidade de comando em massa (broadcast de comandos para todos os nós) - Módulo de DDoS configurável - Sistema de filtragem de vítimas por geolocalização e tipo de dispositivo ### Dispositivos Alvo | Categoria | Exemplos | |-----------|---------| | Roteadores SOHO | ASUS, TP-Link, Netgear, D-Link | | DVRs/NVRs | Hikvision, Dahua | | Câmeras IP | Axis, Reolink | | NAS | Synology, QNAP | | Servidores VoIP | Cisco, Grandstream | ## Diagrama de Arquitetura da Botnet ```mermaid graph TB A["Integrity Technology Group<br/>Yongxin Zhicheng - China"] --> B["Framework Sparrow<br/>Tier 3 - Gerenciamento Central"] B --> C["Servidores C2<br/>Tier 2 - Proxies Intermediarios"] C --> D["Dispositivos IoT SOHO<br/>Tier 1 - Nosedive Implant"] D --> E1["Roteadores ASUS TP-Link<br/>Comprometidos"] D --> E2["DVRs Hikvision Dahua<br/>Comprometidos"] D --> E3["NAS Synology QNAP<br/>Comprometidos"] E1 --> F["Operacoes<br/>DDoS Proxy Reconhecimento"] E2 --> F E3 --> F ``` ## Diagrama de Distribuição Geográfica ```mermaid graph TB A["Raptor Train<br/>260k nos - 20+ paises"] --> B["Americas<br/>EUA - Brasil - Canada - Mexico"] A --> C["Europa<br/>UK - Alemanha - Franca"] A --> D["Asia-Pacifico<br/>India - Taiwan - Australia"] B --> E["Brasil<br/>Significativa concentracao Tier 1"] E --> F["Roteadores SOHO<br/>e DVRs brasileiros infectados"] ``` ## Alvos e Operações ### Setores Alvo do Flax Typhoon O [[flax-typhoon]] direcionou a Raptor Train para reconhecimento e operações contra: - **Defesa e militar**: bases militares dos EUA e aliados - **Governo**: agências governamentais dos EUA e parceiros - **Telecomúnicações**: operadoras de telecom em Taiwan e países aliados - **Tecnologia**: empresas de tecnologia como potenciais alvos de supply chain ### Ação do FBI (Setembro 2024) O FBI obteve ordem judicial e executou operação técnica para desativar o framework Sparrow e enviar comandos de limpeza aos dispositivos infectados, removendo o implante Nosedive da maioria dos nós. Membros da Integrity Technology Group foram incluídos em lista de sanções. O governo chinês negou envolvimento, mas documentos internos da empresa obtidos pelo FBI confirmaram a operação. ## Relevância para LATAM e Brasil > [!latam] Brasil como Nó Confirmado da Raptor Train > O **Brasil** é explicitamente citado pelo FBI e pela Black Lotus Labs como localização com concentração significativa de dispositivos infectados. Roteadores domésticos e DVRs de câmeras de segurança de provedores brasileiros estavam comprometidos - trafegando dados de usuários como proxy para operações do **Flax Typhoon**. ISPs e operadoras brasileiras devem implementar monitoramento de dispositivos CPE/IoT em suas redes. O **Brasil** é explicitamente mencionado nos relatórios técnicos do FBI e da Black Lotus Labs como localização significativa de nós Tier 1: - **Dispositivos brasileiros infectados**: roteadores domésticos e DVRs de câmeras de segurança no Brasil foram usados como nós da botnet - **Operadoras afetadas**: dispositivos de usuários residenciais de operadoras brasileiras de internet estavam comprometidos - **Risco de privacidade**: o tráfego de dados brasileiros foi roteado pelo implante como proxy para operações do [[flax-typhoon]] - **Infraestrutura de telecomúnicações**: o [[telecommunications|setor de telecomúnicações]] brasileiro é alvo de interesse de atores do Estado chinês - **Precedente para ISPs**: provedores de internet brasileiros devem implementar monitoramento de dispositivos CPE/IoT em suas redes ## Detecção e Mitigação ### Como Verificar Dispositivos IoT **Indicadores de comprometimento em roteadores:** - Tráfego de saída incomum para IPs externos em portas não-padrão (ex: TCP 9090, 19999) - Processos desconhecidos em execução (detectável via SSH em alguns modelos) - Modificações em `/etc/crontab` ou scripts de boot - Consumo elevado de CPU/banda sem atividade do usuário **Resposta:** - Factory reset do dispositivo (sobreescreve o implante) - Atualização de firmware para versão mais recente - Mudança de credenciais padrão (admin/admin, etc.) ### Mitigações para Organizações Implementar [[m1016-vulnerability-scanning|M1016]] com varredura periódica de dispositivos IoT/SOHO na rede. Aplicar [[m1051-update-software|M1051]] com políticas de atualização automática de firmware. Usar [[m1030-network-segmentation|M1030]] para isolar dispositivos IoT em VLAN separada. Monitorar via [[ds0029-network-traffic|DS0029]] para padrões de tráfego anômalos de dispositivos de borda. ## Referências - [1](https://www.fbi.gov/news/stories/fbi-disrupts-volt-typhoon-and-flax-typhoon-botnets) FBI - FBI Disrupts Flax Typhoon Botnet (Raptor Train) (2024) - [2](https://blog.lumen.com/black-lotus-labs-uncovers-raptor-train-a-multi-year-iot-botnet/) Black Lotus Labs - Raptor Train: Multi-Year IoT Botnet (2024) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-249a) CISA - PRC State-Sponsored Actors Compromise and Maintain Persistent Access (2024) - [4](https://www.bleepingcomputer.com/news/security/fbi-takes-down-raptor-train-botnet-of-260000-routers-iot-devices/) BleepingComputer - FBI Takes Down Raptor Train Botnet (2024) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/elf.nosedive) Malpedia - Nosedive/Raptor Train Entry (2024)