# Operation Honeybee ## Descrição Operation Honeybee foi uma campanha de espionagem cibernética descoberta pela McAfee Advanced Threat Research em 2018, ativa pelo menos do final de 2017 ao início de 2018. A campanha visou organizações de ajuda humanitária e de assuntos inter-coreanos, com foco inicial na Coreia do Sul antes de expandir para Vietnã, Singapura, Jápão, Indonésia, Argentina e Canadá. Pesquisadores avaliaram que os atores eram provavelmente falantes de coreano, com base em metadados encontrados nos documentos de isca e executáveis - incluindo o nome de autor "벌꿀" (abelha em coreano), que deu nome à campanha. O vetor de acesso inicial utilizava documentos Word maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]) com temas de assuntos inter-coreanos e reunificação - isca especialmente convincente para organizações humanitárias e ONGs focadas na questão coreana. O malware principal [[s0464-syscon|SYSCON]] utilizava um backdoor baseado em FTP para comunicação C2, uma técnica incomum que dificultava a detecção por ferramentas de segurança focadas em tráfego HTTP/HTTPS. O código de assinatura digital ([[t1553-002-code-signing|T1553.002]]) era utilizado para dar aparência legítima aos executáveis maliciosos. A campanha é interessante pela combinação de alvos humanitários e ASEAN - sugerindo interesse em ONGs e organizações que trabalham com refugiados norte-coreanos e questões de reunificação, bem como em governos e empresas do Sudeste Asiático. A expansão para Argentina e Canadá sugere interesse em diásporas coreanas e organizações relacionadas em países ocidentais. ## Impacto Organizações humanitárias e de assuntos inter-coreanos foram comprometidas, com potencial acesso a dados sensíveis sobre redes de defecção norte-coreana, programas de assistência humanitária e comúnicações diplomáticas. A inclusão de Argentina e Canadá entre os alvos indica interesse específico em organizações da diáspora coreana nestes países. ## Relevância LATAM/Brasil A Argentina foi um dos países alvejados confirmados da Operation Honeybee, tornando esta campanha diretamente relevante para a América Latina. Organizações humanitárias e NGOs brasileiras que trabalham com migrantes e refugiados asiáticos, bem como entidades com vínculos com organizações sul-coreanas, representam alvos potenciais de campanhas com padrões similares. A técnica de documentos Word temáticos com macros maliciosas continua sendo um vetor ativo amplamente utilizado contra o terceiro setor e organizações governamentais brasileiras. ## Técnicas Utilizadas - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1574-011-services-registry-permissions-weakness|T1574.011 - Services Registry Permissions Weakness]] ## Software Utilizado - [[s0464-syscon|SYSCON]] - [[s0075-reg|Reg]] - [[s0057-tasklist|Tasklist]] - [[s0096-systeminfo|Systeminfo]] - [[s0106-cmd|cmd]] --- --- *Fonte: [MITRE ATT&CK - C0006](https://attack.mitre.org/campaigns/C0006)* *Fonte: McAfee ATR - "Honeybee, a Malicious Document Campaign Targeting Humanitarian Aid Groups" (2018)*