# GreenLambert > Tipo: **backdoor** · S0690 · [MITRE ATT&CK](https://attack.mitre.org/software/S0690) ## Descrição [[greenlambert|GreenLambert]] é um backdoor que faz parte da família de implantes Lambert (também chamada Longhorn pela Symantec), atribuída pela empresa de cibersegurança Kaspersky a um ator de ameaça da comunidade Five Eyes - possívelmente a CIA dos Estados Unidos, conforme documentos do Vault 7 públicados pelo WikiLeaks em 2017. O GreenLambert é uma versão do Lambert desenvolvida para sistemas macOS e Linux, complementando versões para Windows (WhiteLambert, BlueLambert) dentro do mesmo ecossistema de ferramentas. A família Lambert foi utilizada em operações de espionagem avançada contra organizações governamentais, financeiras e de telecomúnicações em múltiplos continentes desde pelo menos 2008. O [[greenlambert|GreenLambert]] fornece capacidades de backdoor para sistemas Unix/Linux: execução de comandos shell, coleta de informações do sistema, transferência de arquivos e comunicação C2 via protocolos web. O malware utiliza técnicas de ofuscação para dificultar análise e verificações de ambiente para evitar execução em sandboxes. A variedade de plataformas suportadas pelos diferentes Lambert (Windows, macOS, Linux) indica uma operação de espionagem de longa duração altamente profissional com recursos significativos de desenvolvimento. A atribuição da família Lambert à CIA (se confirmada pelos documentos do Vault 7) torna o [[greenlambert|GreenLambert]] historicamente significativo como exemplo de ferramenta de espionagem estatal ocidental, em contraste com os implantes de origem russa e chinesa mais frequentemente documentados. O vazamento do Vault 7 revelou o alcance das capacidades ofensivas da CIA, incluindo implantes para dispositivos IoT, smart TVs e veículos. **Plataformas:** macOS, Linux ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Grupos que Usam - [[longhorn|Longhorn]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar processos persistentes em macOS/Linux com padrões de comunicação HTTP periódica > - Verificar launchd plists e cron jobs incomuns em sistemas macOS/Linux críticos > - Detectar binários com alto índice de entropia (indicativo de ofuscação) em caminhos de sistema > - Implementar monitoramento de integridade de sistema (AIDE, Tripwire) em servidores Linux de alto valor > - Correlacionar com IoCs da família Lambert públicados pela Kaspersky e pela Symantec (Longhorn) ## Relevância LATAM/Brasil O [[greenlambert|GreenLambert]] e a família Lambert são relevantes para o Brasil como exemplos de capacidades de espionagem estatal avançada direcionadas a governos e organizações estratégicas. O Brasil, como potência regional com políticas independentes em energia (Petrobras), tecnologia e relações exteriores, é um alvo de inteligência para múltiplos estados. A implementação do GreenLambert em macOS e Linux é especialmente relevante dado o crescente uso de Macs em organizações brasileiras de tecnologia e o uso extensivo de Linux em servidores de infraestrutura crítica. ## Referências - [MITRE ATT&CK - S0690](https://attack.mitre.org/software/S0690) - [Kaspersky - Lambert/Longhorn Attribution](https://securelist.com/unraveling-the-lamberts-toolset/77990/)