# Cinnamon Tempest > [!danger] China - Ransomware como Fumaca para Espionagem Industrial > Cinnamon Tempest e o grupo chines que inventou o modelo "ransomware como disfarce": opera seis familias de ransomware diferentes em rotacao rapida - nao para lucrar, mas para confundir investigadores e encobrir o verdadeiro objetivo: roubo de propriedade intelectual para o governo chines. Vitimas pagam resgaté; os dados já foram roubados para Pequim. ## Visão Geral Cinnamon Tempest (DEV-0401 / BRONZE STARLIGHT / Emperor Dragonfly) e um grupo de ameaça chines ativo desde meados de 2021, caracterizado por uma abordagem única no cenário de ameaças: **implantação de ransomware de curta duracao como cobertura operacional para espionagem industrial**. O grupo opera todo o ciclo de ataque internamente - sem afiliados, sem compra de acesso de brokers externos. **O modelo "rebrand rapido":** Em menos de dois anos, o grupo criou e abandonou seis familias de ransomware: LockFile (ago/2021), Atom Silo (out/2021), Rook (nov/2021), Night Sky (dez/2021), Pandora (fev/2022) e LockBit 2.0 (abr/2022). Cada familia e brevemente ativa contra um número reduzido de vitimas, depois e descartada - impedindo acumulacao de inteligência pelos defensores e evitando sancoes direcionadas a um grupo específico. **Evidências de motivacao de espionagem:** A Secureworks identificou que a **victimologia** dos ataques nao segue o padrao tipico de ransomware oportunista. Os alvos sao consistentemente de interesse para grupos governamentais chineses focados em coleta de inteligência de longo prazo: farmaceuticas, midia, defesa, tecnologia. O uso de **HUI Loader** e **PlugX** - malwares historicamente associados a grupos chineses patrocinados por estado como APT10 - reforca a atribuicao. **2023 - Setor de jogos de azar ASEAN:** SentinelOne documentou campanha contra o setor de cassinos e apóstas no Sudeste Asiatico (Operation ChattyGoblin), usando instaladores trojanizados de aplicativos de chat (Comm100 Live Chat), DLL hijacking com executaveis Adobe Creative Cloud e McAfee VirusScan, e Cobalt Strike beacons. A geofencing implementada excluia Canada, Franca, Alemanha, India, Russia, UK e EUA - indicando alvejamento preciso. **2024-2025 - RA World como nova cobertura:** Pesquisadores documentaram o grupo usando RA World ransomware (aka RA Group) em ataques contra uma empresa de software da Asia do Sul (novembro 2024) e ministerios de governos do Sudeste Europeu (julho-agosto 2024). O ataque compartilha caracteristicas com operações anteriores do Emperor Dragonfly, incluindo PlugX e NPS Proxy. ## Campanhas Notaveis | Período | Campanha | Ransomware / Método | Setores Alvo | |---------|----------|---------------------|-------------| | Ago 2021 | LockFile | LockFile (Babuk-based) | Manufatura, financeiro EUA | | Out-Nov 2021 | Atom Silo / Rook | Log4Shell -> Cobalt Strike | Farmaceutica, tecnologia | | Dez 2021 - Ján 2022 | Night Sky | Log4Shell (CVE-2021-44228) | Aeroespacial, manufatura | | Fev 2022 | Pandora | HUI Loader + DLL sideloading | Defesa, media Jápao | | Abr 2022 | LockBit 2.0 | Acesso inicial via Exchange | Variados | | Mai-Jun 2022 | Cheerscrypt | ESXi + Windows encryption | Casinos, tecnologia | | Mar 2023 | Operation ChattyGoblin | DLL hijack + chat app supply chain | Cassinos ASEAN | | Jul-Nov 2024 | RA World | Firewall exploit + PlugX | Governo SE Europa + Asia do Sul | ## Arsenal - Cadeia de Ataque ```mermaid graph TB A["Acesso Inicial<br/>T1190 - Log4Shell<br/>ou Firewall exploit"] --> B["Execução<br/>PowerShell + WMI<br/>Cobalt Strike Beacon"] B --> C["HUI Loader<br/>DLL sideloading<br/>PlugX / Sliver deploy"] C --> D["Movimento Lateral<br/>Impacket + SMB<br/>Domain Admin credentials"] D --> E["Exfiltração<br/>Rclone -> MEGA / cloud<br/>T1567.002 propriedade intelectual"] E --> F["Deploy de Ransomware<br/>Cheerscrypt / Night Sky<br/>Cobertura para espionagem"] classDef initial fill:#c0392b,color:#fff,stroke:#922b21 classDef exec fill:#e67e22,color:#fff,stroke:#d35400 classDef loader fill:#8e44ad,color:#fff,stroke:#6c3483 classDef lateral fill:#2980b9,color:#fff,stroke:#1a5276 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 classDef ransom fill:#7f8c8d,color:#fff,stroke:#6c7a7d class A initial class B exec class C loader class D lateral class E exfil class F ransom ``` ## Timeline - Evolução das Familias de Ransomware ```mermaid timeline title Cinnamon Tempest - Rotacao de Ransomwares Ago 2021 : LockFile lançado : Primeira familia Babuk-based Out 2021 : Atom Silo / Rook : Log4Shell como vetor Dez 2021 : Night Sky : Alvos aeroespaciais EUA/Jápao Fev 2022 : Pandora : HUI Loader + DLL sideloading Abr 2022 : LockBit 2.0 adotado : Primeiro ransomware externo Mai 2022 : Cheerscrypt descoberto : ESXi + Windows dual-target Mar 2023 : ChattyGoblin : Cassinos ASEAN - DLL hijack Nov 2024 : RA World : Novo rebrand + Asia do Sul ``` ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1574-002-dll-side-loading|T1574.002 - DLL Side-Loading]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1484-001-group-policy-modification|T1484.001 - Group Policy Modification]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1087-002-domain-account|T1087.002 - Domain Account]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1090-proxy|T1090 - Proxy]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] ## Software Utilizado - [[s1097-hui-loader|HUI Loader]] - Loader customizado para deploy de payloads criptografados (Cobalt Strike, PlugX); amplamente compartilhado com APT10 e TA410; identifica origem chinesa - [[s0154-cobalt-strike|Cobalt Strike]] - C2 framework principal; entregue via HUI Loader com beacon em arquivo separado criptografado; sendo gradualmente substituido por Sliver - [[s0633-sliver|Sliver]] - Framework C2 open-source adotado como alternativa furtiva ao Cobalt Strike (2022+) - [[s0013-plugx|PlugX]] - Backdoor clássico chines; persistência pos-ransomware em alvos de alto valor - [[s1096-cheerscrypt|Cheerscrypt]] - Ransomware baseado em Babuk; criptografa ESXi e Windows; usado como cobertura para exfiltração previa - [[s0664-pandora|Pandora]] - Familia Babuk-based; alvo primario: manufatura e defesa no Jápao - [[s0357-impacket|Impacket]] - Framework Python para movimentação lateral, credential harvesting e execução remota - [[s1040-rclone|Rclone]] - Ferramenta de sync de arquivos usada para exfiltrar dados para MEGA e outros servicos cloud ## Relacao com Outros Grupos Chineses Cinnamon Tempest compartilha ferramentas (HUI Loader, PlugX, Cobalt Strike) com varios clusters chineses: - **[[g0045-apt10|APT10]] / Stone Panda** - Usuario historico de HUI Loader e PlugX; possível infraestrutura compartilhada - **TA410** - Sobreposicoes de ferramentas e infraestrutura documentadas - **Operation ChattyGoblin** - SentinelLabs rastreia a campanha de cassinos como cluster relacionado A sobreposicao massiva de ferramentas entre grupos chineses e deliberada: dificulta atribuicao precisa e permite negacao plausivel. ## Relevância para o Brasil e LATAM Cinnamon Tempest representa **risco alto e imediato** para o Brasil por motivos estruturais: **1. Modelo hibrido IP theft + ransomware:** O grupo nao escolhe entre espionagem e extorsao - executa ambos. Para uma empresa brasileira que sofre ataque "de ransomware" por Cinnamon Tempest, o verdadeiro dano pode ser a exfiltração previa de propriedade intelectual, planos estratégicos ou dados de clientes - independente do pagamento de resgaté. **2. Exploração de vulnerabilidades conhecidas:** O grupo nao usa zero-days - usa CVEs públicos como Log4Shell (CVE-2021-44228) e vulnerabilidades em firewalls. Organizacoes brasileiras com patch management deficiente em servidores VMware Horizon, Exchange e appliances de rede sao alvos compativeis com o historico do grupo. **3. Setores compativeis:** Farmaceutica (LATAM e um polo de biosimilares), tecnologia, midia e governo - todos presentes com organizacoes significativas no Brasil - sao os setores historicamente alvejados pelo grupo. **4. DLL hijacking em softwares legitimos:** O uso de executaveis da Adobe, McAfee e Microsoft para DLL sideloading demonstra que o grupo compromete softwares amplamente instalados em ambientes corporativos brasileiros. > **Alerta critico:** Se sua organização detectar ransomware do Cinnamon Tempest, assuma que dados foram exfiltrados ANTES da criptografia. O objetivo primario do grupo e o roubo de propriedade intelectual - o ransomware e a distorsao visual que esconde essa missao. ## Detecção e Defesa **Indicadores chave:** - HUI Loader executado via DLL sideloading com executaveis Adobe Creative Cloud, McAfee ou Microsoft Edge - Arquivo `agent.data` criptografado em conjunto com executavel legitimo para carregamento de beacon - Rclone configurado para sincronizacao com MEGA ou outros servicos cloud nao corporativos - Cobalt Strike beacon configurado para C2 identificado em análises anteriores do grupo - Instaladores de aplicativos de chat (especialmente para mercado ASEAN) com arquivos ZIP adicionais de Alibaba Cloud **Mitigacoes prioritarias:** - [[m1051-update-software|M1051 - Updaté Software]] - Patching critico de VMware Horizon, Exchange e appliances de rede (Log4Shell ainda presente em ambientes sem patch) - [[m1038-execution-prevention|M1038 - Execution Prevention]] - Prevenção de DLL sideloading em aplicativos nao corporativos - [[m1057-data-loss-prevention|M1057 - Data Loss Prevention]] - Monitoramento de exfiltração para cloud storage (Rclone + MEGA patterns) ## Referências - [1](https://attack.mitre.org/groups/G1021/) MITRE ATT&CK - G1021 Cinnamon Tempest (2024) - [2](https://thehackernews.com/2022/06/state-backed-hackers-using-ransomware.html) The Hacker News - State-Backed Hackers Using Ransomware as a Decoy for Cyber Espionage (2022) - [3](https://www.sygnia.co/threat-reports-and-advisories/revealing-emperor-dragonfly-a-chinese-ransomware-group/) Sygnia - Revealing Emperor Dragonfly: Night Sky and Cheerscrypt (2022) - [4](https://thehackernews.com/2023/08/china-linked-bronze-starlight-group.html) The Hacker News - China-Linked Bronze Starlight Group Targeting Gambling Sector (2023) - [5](https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Bronze+Starlight&n=1) ETDA - Bronze Starlight / Cinnamon Tempest Threat Actor Card (2024) - [6](https://socprime.com/blog/cheerscrypt-ransomware-detection-china-backed-hackers-emperor-dragonfly-aka-bronze-starlight-are-behind-ongoing-cyber-attacks/) SOC Prime - Cheerscrypt Ransomware Detection: Emperor Dragonfly Bronze Starlight (2022)