# Operation CuckooBees ## Descrição Operation CuckooBees foi uma campanha de espionagem cibernética de longa duração conduzida pelo Winnti Group (APT41/BARIUM), ativa de pelo menos dezembro de 2019 a maio de 2022, quando a Cybereason públicou uma análise detalhada da operação. O grupo visava empresas de tecnologia e manufatura no Leste Asiático, Europa Ocidental e América do Norte, com foco no roubo de propriedade intelectual: informações proprietárias, documentos de P&D, código-fonte, blueprints e dados de manufatura de alto valor estratégico. A operação foi notável pelo seu perfil extremamente furtivo: os atores permaneceram não detectados por mais de dois anos em múltiplas redes corporativas, priorizando persistência silenciosa acima de qualquer ação destrutiva. O toolkit utilizado incluiu o backdoor Spyder, o rootkit Winnkit e diversas ferramentas nativas do Windows para descoberta de sistemas ([[t1082-system-information-discovery|T1082]]), enumeração de contas ([[t1087-001-local-account|T1087.001]]) e staging de dados ([[t1560-001-archive-via-utility|T1560.001]]) antes da exfiltração. A preferência por contas de domínio legítimas ([[t1078-002-domain-accounts|T1078.002]]) e serviços externos ([[t1133-external-remote-services|T1133]]) dificultou significativamente a detecção por ferramentas de segurança convencionais. A campanha demonstra a paciência operacional característica do APT41: em vez de extração rápida e ruidosa, o grupo realiza reconhecimento extensivo e coleta incremental, mantendo acesso a longo prazo para maximizar o valor da inteligência coletada. ## Impacto Propriedade intelectual de alto valor - incluindo código-fonte, blueprints de manufatura e dados de P&D - de empresas nos setores de tecnologia, defesa e manufatura foi comprometida ao longo de mais de dois anos. A escala real do impacto é provavelmente subestimada dado o período sem detecção. A campanha foi relatada como responsável por roubo de "centenas de gigabytes" de dados confidenciais, incluindo documentos técnicos sensíveis que beneficiam diretamente capacidades industriais da China. ## Relevância LATAM/Brasil Embora os alvos confirmados estejam no Leste Asiático, Europa e América do Norte, o Winnti Group/APT41 demonstrou capacidade de operações globais. Empresas brasileiras do setor de manufatura de alta tecnologia, aeroespacial e defesa com parcerias internacionais ou IPs de alto valor representam alvos potenciais. A técnica de manutenção de acesso persistente por anos sem detecção - identificada na CuckooBees - reforça a necessidade de threat hunting proativo e auditoria de contas de domínio em organizações brasileiras de setores estratégicos. ## Técnicas Utilizadas - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1201-password-policy-discovery|T1201 - Password Policy Discovery]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] ## Software Utilizado - [[s0105-dsquery|dsquery]] - [[s0096-systeminfo|Systeminfo]] --- --- *Fonte: [MITRE ATT&CK - C0012](https://attack.mitre.org/campaigns/C0012)* *Fonte: Cybereason - "Operation CuckooBees: Massive Chinese Intellectual Property Theft Operation" (Maio 2022)*