# Cyclops Blink > Tipo: **malware** · S0687 · [MITRE ATT&CK](https://attack.mitre.org/software/S0687) ## Descrição [[s0687-cyclops-blink|Cyclops Blink]] é um malware modular utilizado em campanhas de larga escala pelo [[g0034-sandworm|Sandworm Team]] desde pelo menos 2019 para atingir dispositivos de rede de pequenos escritórios e escritórios domésticos (SOHO), incluindo equipamentos WatchGuard e Asus. O [[s0687-cyclops-blink|Cyclops Blink]] é avaliado como um substituto do [[s1010-vpnfilter|VPNFilter]], uma plataforma similar com foco em dispositivos de rede. Divulgado públicamente em fevereiro de 2022 em um aviso conjunto das agências de inteligência do Reino Unido (NCSC) e dos Estados Unidos (CISA, FBI, NSA). O malware possui arquitetura modular, com um componente central que gerencia comunicação C2 criptografada via TLS e módulos carregáveis que expandem suas capacidades: atualização de firmware, exfiltração de informações do sistema e abertura de shells remotos. O [[s0687-cyclops-blink|Cyclops Blink]] mantém persistência grave ao modificar o firmware dos dispositivos WatchGuard, tornando a remoção extremamente difícil - a simples reinicialização não elimina a infecção, sendo necessário um processo especial de remediação fornecido pelos fabricantes. A ameaça representa uma evolução significativa em capacidades de ataque a dispositivos de rede: ao comprometer roteadores SOHO, o [[g0034-sandworm|Sandworm Team]] cria infraestrutura de comando e controle distribuída e difícil de atribuir, usando dispositivos de vítimas como proxies para operações subsequentes. A escala da botnet criada pelo Cyclops Blink foi significativa antes de ser desmantelada por operação do FBI em abril de 2022. **Plataformas:** Network Devices ## Técnicas Utilizadas - [[t1106-native-api|T1106 - Native API]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1542-002-component-firmware|T1542.002 - Component Firmware]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1132-002-non-standard-encoding|T1132.002 - Non-Standard Encoding]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1559-inter-process-communication|T1559 - Inter-Process Commúnication]] ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] ## Detecção - Monitorar conexões TLS de saída de dispositivos de rede SOHO para IPs externos não reconhecidos ([[t1573-002-asymmetric-cryptography|T1573.002]]) - Verificar integridade do firmware de dispositivos WatchGuard e Asus usando ferramentas oficiais dos fabricantes - Detectar modificações de timestamps em arquivos de firmware ([[t1070-006-timestomp|T1070.006]]) - Monitorar comúnicações IPC (Inter-Process Commúnication) incomuns em dispositivos de rede ([[t1559-inter-process-communication|T1559]]) - Implementar inventário e monitoramento de todos os dispositivos de rede SOHO na organização ## Relevância LATAM/Brasil O [[s0687-cyclops-blink|Cyclops Blink]] e o [[g0034-sandworm|Sandworm Team]] representam uma ameaça relevante para infraestrutura crítica no Brasil. Dispositivos WatchGuard e Asus são amplamente utilizados por PMEs e escritórios no país, criando uma superfície de ataque significativa. Embora o foco histórico do Sandworm sejá a Europa e Ucrânia, a utilização de botnets de roteadores como infraestrutura C2 implica que qualquer dispositivo comprometido globalmente pode ser usado como relay para ataques a qualquer alvo. Organizações brasileiras com dispositivos de rede vulneráveis podem inadvertidamente servir como nós de proxy em operações do grupo russo. ## Referências - [MITRE ATT&CK - S0687](https://attack.mitre.org/software/S0687) - [NCSC/CISA/FBI/NSA Advisory - Cyclops Blink](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-054a)