funnydream - RunkIntel

# FunnyDream ## Descrição FunnyDream (MITRE C0007) foi uma campanha de ciberespionagem documentada pela Bitdefender em novembro de 2020, ativa entre julho de 2018 e novembro de 2020 - mais de dois anos de operação contínua. A campanha visou organizações governamentais, ministérios de relações exteriores e entidades de telecomúnicações no Sudeste Asiático, principalmente na Malásia, Filipinas, Taiwan e Vietnã. Pesquisadores associaram o FunnyDream a atores de ameaça de língua chinesa, baseando-se no uso do backdoor [[s1041-chinoxy|Chinoxy]] - uma família de malware consistentemente atribuída a grupos APT chineses - e na sobreposição de infraestrutura com o grupo TAG-16. O arsenal técnico da campanha incluiu múltiplas ferramentas de acesso remoto e utilitários legítimos reaproveitados: [[s1044-funnydream|FunnyDream]] (backdoor principal), [[s1041-chinoxy|Chinoxy]], [[s1050-pcshare|PcShare]] e [[s1043-ccf32|ccf32]]. Os atores demonstraram preferência por ferramentas de descoberta de sistema ([[t1082-system-information-discovery|T1082]]), descoberta de processos ([[t1057-process-discovery|T1057]]), configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]) e conexões de rede ativas ([[t1049-system-network-connections-discovery|T1049]]) para mapeamento das redes comprometidas. A exfiltração de dados foi realizada via arquivamento de arquivos ([[t1560-001-archive-via-utility|T1560.001]]) e transferência de ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]). A campanha utilizou WMI ([[t1047-windows-management-instrumentation|T1047]]) e command shell do Windows ([[t1059-003-windows-command-shell|T1059.003]]) para execução. A longevidade da FunnyDream - mais de dois anos sem detecção em ambientes governamentais - evidência a sofisticação operacional dos atores e a dificuldade de detecção de campanhas APT de baixo perfil baseadas em ferramentas adaptadas. O foco geográfico no Sudeste Asiático é coerente com os interesses estratégicos chineses na região, especialmente em relação a Taiwan, disputas no Mar do Sul da China e relações diplomáticas de países do bloco ASEAN. ## Impacto | Métrica | Detalhe | |---------|---------| | Período | Julho de 2018 – novembro de 2020 (2+ anos) | | Atores | Possível nexo China (TAG-16 overlap); uso do Chinoxy | | Alvos | Governos, ministérios de relações exteriores, telecomúnicações | | Regiões | Malásia, Filipinas, Taiwan, Vietnã, Sudeste Asiático | | Malware | FunnyDream, Chinoxy, PcShare, ccf32 | | Atribuição | Não formal; possível nexo China com alta confiança | ## Relevância LATAM/Brasil O impacto direto no Brasil e América Latina é **baixo** - a campanha FunnyDream teve foco exclusivo no Sudeste Asiático. Contudo, a métodologia é relevante: o uso de ferramentas de espionagem chinesas como Chinoxy e PcShare em campanhas de longa duração contra governos é um padrão documentado globalmente. O Brasil, como país com relações diplomáticas e econômicas significativas com a China e membro ativo do G20 e BRICS, é um alvo de interesse estratégico para operações de espionagem de Estado. Agências governamentais e embaixadas brasileiras devem considerar campanhas com perfil similar ao FunnyDream como uma ameaça relevante ao ambiente de segurança diplomática. ## Técnicas Utilizadas - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1588-001-malware|T1588.001 - Malware]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Software Utilizado - [[s1043-ccf32|ccf32]] - [[s1044-funnydream|FunnyDream]] - [[s0096-systeminfo|Systeminfo]] - [[s0100-ipconfig|ipconfig]] - [[s0057-tasklist|Tasklist]] - [[s0104-netstat|netstat]] - [[s1041-chinoxy|Chinoxy]] - [[s1050-pcshare|PcShare]] --- *Fonte: [MITRE ATT&CK - C0007](https://attack.mitre.org/campaigns/C0007)*