# GLAMTARIEL > Tipo: **backdoor** · [Mandiant Research - APT29](https://www.mandiant.com/) ## Descrição [[glamtariel|GLAMTARIEL]] é um backdoor identificado pela Mandiant em análise do arsenal do [[g0016-apt29|APT29]] (Nobelium, Cozy Bear), o grupo de espionagem associado ao SVR russo. O malware foi descoberto em 2022 em campanhas de espionagem direcionadas a organizações governamentais e diplomáticas, sendo utilizado em conjunto com o downloader ENVYSCOUT para entregar payloads a alvos de alto valor. O GLAMTARIEL representa uma adição ao amplo arsenal técnico do APT29, que é reconhecido por desenvolver e utilizar múltiplas ferramentas customizadas para diferentes fases das operações. O [[glamtariel|GLAMTARIEL]] implementa comunicação C2 via HTTP/HTTPS com dados exfiltrados em formato criptografado, executando comandos recebidos do servidor C2 e coletando informações do sistema comprometido. O malware utiliza múltiplas técnicas de ofuscação para dificultar análise estática. Como parte do arsenal do [[g0016-apt29|APT29]], o GLAMTARIEL tipicamente opera em sistemas de alto valor como e-mails diplomáticos, documentos de negociação e comúnicações governamentais estratégicas. O [[g0016-apt29|APT29]] é consistentemente classificado como um dos grupos APT mais sofisticados operacionalmente, demonstrando excelente segurança operacional (OPSEC), TTPs em constante evolução para evitar detecção, e foco cirúrgico em alvos de alto impacto. O grupo foi responsável pela operação SolarWinds - um dos maiores comprometimentos de cadeia de suprimentos da história - e continua ativo com novas ferramentas e infraestrutura regularmente identificadas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção > [!tip] Indicadores de Detecção > - Implementar detecção baseada em comportamento para backdoors que se comúnicam via HTTPS para IPs fora de geolocalizações esperadas > - Monitorar processos com padrões de comunicação periódica (beacon) para domínios recém-registrados > - Correlacionar presença de ENVYSCOUT (downloader associado) como precursor de GLAMTARIEL > - Verificar logs de proxy web para padrões de User-Agent incomuns ou comúnicações para infraestrutura Nobelium conhecida > - Implementar threat intelligence feeds focados em APT29/Nobelium para identificação de IoCs em tempo real ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]]/Nobelium conduz espionagem global contra governos, organizações internacionais e empresas de tecnologia. O Brasil, com sua política externa independente, participação em BRICS e G20, e setor de energia estratégico, representa um alvo de inteligência relevante para o SVR russo. Embaixadas estrangeiras em Brasília e missões diplomáticas brasileiras no exterior são particularmente vulneráveis ao perfil de operações do APT29. A Agência Brasileira de Inteligência (ABIN) e o DSIC/GSI monitoram ameaças desta categoria, mas a sofisticação do APT29 demanda capacidades defensivas avançadas. ## Referências - [Mandiant - APT29 Arsenal Analysis](https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft)