# Bumblebee > Tipo: **malware** · S1039 · [MITRE ATT&CK](https://attack.mitre.org/software/S1039) ## Cadeia de Infecção ```mermaid graph TB A["📧 Phishing / SEO poison<br/>ISO ou LNK malicioso<br/>Contact form abuse"] --> B["💥 Odbcconf T1218.008<br/>DLL injection T1055.001<br/>APC injection T1055.004"] B --> C["🔧 Bumblebee loader<br/>WMI execution T1047<br/>VB script T1059.005"] C --> D["🔍 System recon<br/>Security SW discovery T1518<br/>Sandbox checks T1497"] D --> E["📡 C2 callback<br/>Exfiltração T1041<br/>Dados locais T1005"] E --> F["💀 Payload secundário<br/>Conti / Cobalt Strike<br/>Ransomware deployment"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exploit class C install class D recon class E c2 class F impact ``` ## Descrição [[s1039-bumblebee|Bumblebee]] é um loader personalizado escrito em C++ utilizado por múltiplos agentes de ameaça, incluindo possíveis initial access brokers, para baixar e executar payloads adicionais desde pelo menos março de 2022. [[s1039-bumblebee|Bumblebee]] está vinculado a operações de ransomware incluindo [[conti|Conti]], Quantum e Mountlocker, e derivou seu nome pela aparência de 'bumblebee' no user-agent. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1218-008-odbcconf|T1218.008 - Odbcconf]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1055-004-asynchronous-procedure-call|T1055.004 - Asynchronous Procedure Call]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] ## Grupos que Usam - [[g1038-ta578|TA578]] - [[g1011-exotic-lily|EXOTIC LILY]] ## Relevância para o Brasil e LATAM O [[s1039-bumblebee|Bumblebee]] é um loader utilizado como ponto de entrada por initial access brokers (IABs) que vendem acesso a redes corporativas para operadores de ransomware. Embora não sejá um malware LATAM-específico, o modelo de IAB que o Bumblebee suporta é diretamente relevante para o Brasil: corporações brasileiras de médio e grande porte são alvos ativos de IABs que vendem acesso em fóruns criminosos. A distribuição via formulários de contato de sites legítimos (contact form abuse) e via ISO/LNK em phishing é particularmente eficaz em ambientes corporativos brasileiros onde controles de reputação de domínio são menos rigorosos. O vínculo do Bumblebee com operações do [[conti|Conti]] e grupos afiliados ao ecossistema Wizard Spider significa que qualquer organização brasileira que sejá alvo de big game hunting deve monitorar indicadores do Bumblebee como precursor de ransomware. ## Referências - [MITRE ATT&CK - S1039](https://attack.mitre.org/software/S1039)