# frp (Fast Reverse Proxy) > Tipo: **ferramenta dual-use (proxy reverso)** · S1144 · [MITRE ATT&CK](https://attack.mitre.org/software/S1144/) ## Descrição [[s1144-frp|frp]] (Fast Reverse Proxy) é uma ferramenta de código aberto legítima desenvolvida para expor servidores atrás de NATs e firewalls à internet através de servidores intermediários. Embora sejá uma ferramenta com usos legítimos de administração de sistemas, o frp foi amplamente adotado por atores de ameaça - notadamente o grupo de espionagem [[g1017-volt-typhoon|Volt Typhoon]] (APT41 nexo chinês focado em infraestrutura crítica) - como componente de sua infraestrutura de comando e controle. O projeto é hospedado no GitHub e tem dezenas de milhares de usuários legítimos, tornando o bloqueio indiscriminado contraproducente. O [[s1144-frp|frp]] permite que atores de ameaça estabeleçam túneis cifrados persistentes de dentro de redes comprometidas para infraestrutura C2 externa, contornando inspeção de tráfego de saída e controles de firewall. O [[g1017-volt-typhoon|Volt Typhoon]] utiliza o frp para criar canais de comunicação furtivos em ambientes de infraestrutura crítica como telecomúnicações, utilities e governo, onde o tráfego legítimo de administração remota é comum. A ferramenta suporta múltiplos protocolos de tunelamento (TCP, UDP, HTTP, HTTPS) e pode ser configurada para usar portas não-padrão para evitar detecção por regras de firewall baseadas em porta. A dualidade do frp como ferramenta legítima e armamento de ataque cria desafios significativos para equipes de segurança: bloquear o binário remove uma ferramenta genuinamente útil para sysadmins, enquanto ignorar sua presença pode indicar comprometimento ativo. Outros grupos além do Volt Typhoon que utilizam o frp incluem [[bronze-starlight|Bronze Starlight]] e grupos de ransomware como o LockBit, confirmando sua popularidade como ferramenta ofensiva multi-propósito. **Plataformas:** Windows, Linux, macOS ## Técnicas Utilizadas - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g1017-volt-typhoon|Volt Typhoon]] - [[bronze-starlight|Bronze Starlight]] ## Detecção > [!tip] Indicadores de Detecção > - Detectar binários frp (frpc/frps) por hash conhecidos ou por nome de processo > - Monitorar conexões de saída persistentes para IPs/domínios não-autorizados usando protocolos de tunelamento > - Alertar sobre processos que estabelecem conexões TCP de longa duração para portas incomuns (especialmente 7000, 7001 padrão do frp) > - Verificar configurações do arquivo frpc.ini/frps.ini em sistemas comprometidos para identificar servidores C2 > - Implementar allowlisting de ferramentas de acesso remoto - qualquer ferramenta não-aprovada deve gerar alerta ## Relevância LATAM/Brasil O [[g1017-volt-typhoon|Volt Typhoon]], principal usuário do [[s1144-frp|frp]] em operações de espionagem, tem como alvo primário infraestruturas críticas de países ocidentais e seus aliados. O Brasil, com sua infraestrutura crítica de energia (pré-sal, sistema elétrico interligado), telecomúnicações e governo, representa um alvo de alto valor para grupos de espionagem com motivações geopolíticas. A ANATEL e órgãos de segurança brasileiros como DSIC/GSI têm emitido alertas sobre comprometimentos de infraestrutura de telecomúnicações que utilizam ferramentas como o frp. A presença do frp em qualquer sistema de infraestrutura crítica deve ser tratada como indicador de comprometimento até prova em contrário. ## Referências - [MITRE ATT&CK - S1144](https://attack.mitre.org/software/S1144/) - [CISA Advisory - Volt Typhoon](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a)