O ator de ameaças conhecido como Blind Eagle foi associado a uma série de campanhas contínuas visando instituições colombianas e entidades governamentais desde novembro de 2024.
"As campanhas monitoradas visaram instituições judiciais colombianas e outras organizações governamentais ou privadas, com altas taxas de infecção," disse a Check Point em uma nova análise.
Mais de 1.600 vítimas foram afetadas durante uma dessas campanhas, que ocorreu por volta de 19 de dezembro de 2024.
Esta taxa de infecção é significativa considerando a abordagem de APT direcionada do Blind Eagle. O Blind Eagle, ativo desde pelo menos 2018, também é rastreado como AguilaCiega, APT-C-36 e APT-Q-98.
É conhecido por seu direcionamento hiperespecífico de entidades na América do Sul, especificamente Colômbia e Equador.
Cadeias de ataque orquestradas pelo ator de ameaças envolvem o uso de táticas de engenharia social, muitas vezes na forma de e-mails de spear-phishing, para ganhar acesso inicial aos sistemas alvo e, finalmente, instalar RATs de acesso remoto prontamente disponíveis como AsyncRAT, NjRAT, Quasar RAT e Remcos RAT.
O último conjunto de intrusões é notável por três razões: o uso de uma variante de um exploit para uma falha do Microsoft Windows agora corrigida (
CVE-2024-43451
), a adoção de um novo packer-as-a-service (PaaS) chamado HeartCrypt, e a distribuição de payloads via Bitbucket e GitHub, indo além do Google Drive e Dropbox.
Especificamente, o HeartCrypt é usado para proteger o executável malicioso, uma variante do PureCrypter que é então responsável por lançar o malware Remcos RAT hospedado em um repositório no Bitbucket ou GitHub agora removido.
CVE-2024-43451
refere-se a uma vulnerabilidade de divulgação de hash NTLMv2 que foi corrigida pela Microsoft em novembro de 2024.
O Blind Eagle, segundo a Check Point, incorporou uma variante desse exploit em seu arsenal de ataques apenas seis dias após o lançamento do patch, fazendo com que vítimas desavisadas avançassem a infecção quando um arquivo .URL malicioso distribuído via e-mail de phishing é clicado manualmente.
"Embora esta variante não exponha realmente o hash NTLMv2, ela notifica os atores da ameaça que o arquivo foi baixado pelas mesmas interações incomuns entre usuário e arquivo," disse a empresa de cibersegurança.
Em dispositivos vulneráveis ao
CVE-2024-43451
, uma solicitação WebDAV é acionada mesmo antes de o usuário interagir manualmente com o arquivo, com o mesmo comportamento incomum.
Enquanto isso, em sistemas corrigidos e não corrigidos, clicar manualmente no arquivo .URL malicioso inicia o download e a execução do payload da próxima etapa. A Check Point apontou que a "resposta rápida” serve para destacar a expertise técnica do grupo e sua capacidade de se adaptar e buscar novos métodos de ataque diante das defesas de segurança em evolução.
Servindo como prova concreta da origem do ator de ameaça, o repositório no GitHub revelou que o ator de ameaça opera no fuso horário UTC-5, alinhado com vários países da América do Sul.
Isso não é tudo.
Em um aparente erro operacional, uma análise do histórico de commits do repositório descobriu um arquivo contendo pares de contas e senhas com 1.634 endereços de e-mail únicos.
Embora o arquivo HTML, nomeado "Ver Datos del Formulario.html", tenha sido deletado do repositório em 25 de fevereiro de 2025, descobriu-se que continha detalhes como nomes de usuário, senhas, e-mail, senhas de e-mail e PINs de caixas eletrônicos associados a indivíduos, agências governamentais, instituições educacionais e empresas operando na Colômbia.
"Um fator chave em seu sucesso é sua capacidade de explorar plataformas legítimas de compartilhamento de arquivos, incluindo Google Drive, Dropbox, Bitbucket e GitHub, permitindo que ele contorne medidas de segurança tradicionais e distribua malware de maneira furtiva," disse a Check Point.
Além disso, seu uso de ferramentas criminosas subterrâneas como Remcos RAT, HeartCrypt e PureCrypter reforça seus profundos laços com o ecossistema cibercriminoso, concedendo acesso a técnicas de evasão sofisticadas e métodos de acesso persistente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...