Nuevas campañas de ciberamenazas dirigidas a entidades gubernamentales en Colombia han sido vinculadas al grupo Blind Eagle, indicó una investigación de Check Point Research. De acuerdo a sus especialistas, la banda emplea métodos cada vez más sofisticados para distribuir malware.
Desde noviembre de 2024, el grupo de amenazas Blind Eagle, también conocido como APT-C-36, ha estado dirigiendo ataques contra organizaciones gubernamentales y privadas en Colombia. Su estrategia principal ha sido la distribución de archivos .url maliciosos que simulan explotar la vulnerabilidad CVE-2024-43451, aunque en realidad no la utilizan directamente.
Microsoft publicó el parche para esta vulnerabilidad el 12 de noviembre de 2024, con la cual se mitigaba la extracción de hashes NTLMv2 para su uso en ataques de autenticación. Sin embargo, la versión de Blind Eagle activa una solicitud WebDAV cuando el archivo malicioso es interactuado de diversas formas, como hacer clic derecho, eliminarlo o arrastrarlo. Esta solicitud alerta a los atacantes de que el archivo se ha descargado, y si el usuario lo abre, se desencadena la descarga de una segunda carga útil mediante otra solicitud WebDAV, lo que ejecuta el malware.
El 19 de diciembre de 2024 se registró una de las campañas más agresivas, con más de 1.600 víctimas. Blind Eagle, conocido por su accionar selectivo, también atacó en diciembre con la campaña «Parasio», que utilizó Bitbucket en lugar de GitHub para distribuir el RAT Remcos, lo que resultó en aproximadamente 9 mil infecciones en solo una semana.
Blind Eagle distribuye su malware a través de plataformas como Google Drive, Dropbox, Bitbucket y GitHub, y la cadena de ataque incluye el uso de HeartCrypt, un empaquetador de malware que protege un RAT .NET, que a su vez es una variante de PureCrypter. La carga útil final es Remcos RAT, un troyano de acceso remoto.
En enero de 2025, el grupo lanzó nuevas campañas llamadas «socialismo» y «miami», utilizando archivos .url maliciosos alojados en cuentas comprometidas de Google Drive. Estas ofensivas lograron una exfiltración masiva de datos y el compromiso de diversos sistemas.
También existen antecedentes que indican que, en febrero pasado, un phishing de Blind Eagle expuso por error un archivo HTML con información personal identificable (PII) de una operación que suplantaba bancos colombianos. El archivo contenía 8.075 entradas válidas, incluyendo credenciales y PIN de cajeros automáticos, así como direcciones de correo electrónico de instituciones gubernamentales colombianas.
Investigadores de la firma Check Point han identificado que la actividad de Blind Eagle en GitHub se alinea con la zona horaria UTC-5, lo que refuerza la hipótesis de que sus operaciones están dirigidas desde América del Sur.