# Exotic Lily Campaign 2021 > [!high] IAB especializado usando contact forms e identidades falsas para distribuir BazaLoader e Bumblebee > O grupo **Exotic Lily** (UNC2716), documentado pelo Google TAG em março de 2022, é um Initial Access Broker (IAB) sofisticado especializado em campanhas de phishing de alto volume e alta qualidade. O grupo usou formulários de contato de websites corporativos para enviar lures disfarçados de propostas legítimas de negócio, distribuindo [[bazaloader]] e posteriormente [[s0695-bumblebee]] — loaders associados aos grupos por trás do Conti e Ryuk ransomware. ## Visão Geral A campanha Exotic Lily demonstrou um nível de operacionalização raramente visto em grupos de acesso inicial: o grupo mantinha perfis fake elaborados no LinkedIn, Crunchbase e outras plataformas profissionais para dar credibilidade às suas comúnicações. Cada lure era customizado para o setor da empresa alvo — IT, saúde, finanças — com referências a tendências do setor e propostas comerciais plausíveis. O volume operacional era impressionante: mais de 5.000 emails por dia, enviados para mais de 650 organizações globais diferentes. O vetor de entrega primário foi inovador: em vez de anexos de email (frequentemente bloqueados), o grupo enviava arquivos via serviços de compartilhamento legítimos como WeTransfer, TransferNow e OneDrive — abusando da confiança que firewalls e gateways de email conferem a esses domínios. Os arquivos eram ISO (imagens de disco) ou LNK (atalhos Windows) contendo o [[bazaloader]] ou [[s0695-bumblebee]], dois loaders associados ao ecossistema de ransomware Conti/Ryuk. A relação entre o Exotic Lily e operadores de ransomware de alto impacto é o elemento mais preocupante: o Google TAG documentou que o grupo vendia acessos ao Conti e possívelmente ao Diavol. Para o [[financial|setor financeiro]] e [[healthcare|saúde]] brasileiros — que recebem regularmente propostas comerciais de empresas internacionais —, o caso Exotic Lily exemplifica por que arquivos ISO/LNK e links de WeTransfer recebidos de contatos desconhecidos devem ser tratados com extrema suspeita, independentemente do contexto aparentemente legítimo. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing via Contact Forms | [[t1566-001-spearphishing-attachment\|T1566.001]] | Uso de formulários de contato legítimos como vetor | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | ISO/LNK contendo BazaLoader ou Bumblebee | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Loaders ofuscados para evadir AV | | Web Service Abuse | [[t1102-web-service\|T1102]] | WeTransfer/OneDrive para hospedar payloads | ## Referências - [1](https://blog.google/threat-analysis-group/exposing-initial-access-broker-reponsible-for-ryuk-conti-ransomware/) Google TAG - Exotic Lily: Initial Access Broker Behind Conti/Ryuk (2022) - [2](https://www.proofpoint.com/us/blog/threat-insight/bumblebee-is-still-transforming) Proofpoint - Bumblebee Loader Distribution (2022) - [3](https://attack.mitre.org/software/S0695/) MITRE ATT&CK - Bumblebee (S0695)