Campanha Global Descoberta: PLCs Modbus Alvejados e Infraestrutura Geolocalizada na China Observada

A Cato Networks documentou uma campanha global de três meses (setembro a novembro de 2025) que atingiu 14.426 PLCs Modbus/TCP expostos à internet em 70 países. O setor de manufatura representou 18% dos alvos, enquanto EUA, França e Japão somaram 61% dos IPs visados. A atividade evoluiu de reconhecimento automatizado de Read Holding Register (0x03) — cerca de 235,5 mil requisições de 233 IPs — para playbooks roteirizados de fingerprint e leitura (0x2B/0x0E pareados com leituras em 0xB414).

Posteriormente, observaram-se comportamentos de maior impacto, incluindo leituras em massa de 124 registradores no estilo DoS (uma fonte gerou 158,1 mil leituras contra um único alvo), 3.240 tentativas de Write Multiple Registers (0x10) de um IP a partir de 0x0BB8, e raras sondagens expandidas de identificação de dispositivo (0200) de seis fontes geolocalizadas na China, sinalizadas como infraestrutura com intenção mais elevada. Recomenda-se que defensores mantenham o Modbus totalmente fora da internet pública, implementem segmentação OT/IT com allowlisting de origem rigoroso para qualquer conectividade necessária e bloqueiem gravações 0x10 de entrada não solicitadas por padrão para prevenir manipulação em nível de registrador de processos físicos.