Pesquisadores de cybersecurity descobriram cinco diferentes clusters de atividade vinculados a um ator de ameaça persistente conhecido como Blind Eagle, entre maio de 2024 e julho de 2025.
Esses ataques, observados pelo Recorded Future Insikt Group, tiveram como alvo diversas vítimas, mas concentraram-se principalmente no governo colombiano, abrangendo níveis local, municipal e federal.
A empresa de threat intelligence acompanha essa atividade sob o nome TAG-144.
“Embora os clusters compartilhem táticas, técnicas e procedimentos (TTPs) similares, como o uso de remote access trojans (RATs) de código aberto e versões crackeadas, provedores de domínio dinâmico e serviços legítimos de internet (LIS) para staging, eles apresentam diferenças significativas em infraestrutura, deployment de malware e outros métodos operacionais”, explicou a companhia, que pertence ao Mastercard.
O grupo Blind Eagle tem histórico de ataques a organizações na América do Sul desde pelo menos 2018, com campanhas que refletem tanto motivações de cyber espionage quanto financeiras.
Isso pode ser evidenciado pelas campanhas mais recentes, que incluem keylogging relacionado a bancos, monitoramento de browsers e o uso de diversos RATs para atingir entidades governamentais.
Os alvos dos ataques do grupo incluem o judiciário e autoridades fiscais, além de entidades dos setores financeiro, petróleo, energia, educação, saúde, manufatura e serviços profissionais.
As operações ocorrem predominantemente na Colômbia, Equador, Chile e Panamá, e, em alguns casos, em usuários de língua espanhola na América do Norte.
As cadeias de ataque geralmente envolvem o uso de spear-phishing, com iscas que se passam por agências governamentais locais para induzir os destinatários a abrir documentos maliciosos ou clicar em links encurtados por serviços como cort[.]as, acortaurl[.]com e gtly[.]to.
Blind Eagle utiliza contas de e-mail comprometidas para enviar essas mensagens e emprega truques de geofencing para redirecionar usuários para sites oficiais do governo quando tentam navegar para infraestruturas controladas pelos atacantes fora da Colômbia ou Equador.
“A infraestrutura de command-and-control (C2) da TAG-144 frequentemente incorpora endereços IP de provedores colombianos junto com virtual private servers (VPS), como Proton666, e serviços de VPN como Powerhouse Management, FrootVPN e TorGuard”, afirmou o Recorded Future.
Essa configuração é aprimorada pelo uso de serviços de DNS dinâmico, entre eles duckdns[.]org, ip-ddns[.]com e noip[.]com.
O grupo também explora serviços legítimos de internet, como Bitbucket, Discord, Dropbox, GitHub, Google Drive, Internet Archive, lovestoblog.com, Paste.ee, Tagbox e sites brasileiros menos conhecidos de hospedagem de imagens, para staging de payloads, dificultando a detecção de conteúdos maliciosos.
Nas campanhas recentes, o ator de ameaça tem utilizado um arquivo Visual Basic Script como dropper para executar um script PowerShell dinâmico em tempo de execução, que busca em um servidor externo o download de um módulo injector responsável por carregar RATs como Lime RAT, DCRat, AsyncRAT ou Remcos RAT.
Apesar do foco regional, o grupo de hackers mantém consistentemente as mesmas técnicas desde que surgiu, demonstrando como métodos bem estabelecidos continuam apresentando altas taxas de sucesso na região.
A análise do Recorded Future sobre as campanhas do Blind Eagle identificou cinco clusters de atividade:
- Cluster 1 (fevereiro a julho de 2025): alvos exclusivos no governo colombiano, com DCRat, AsyncRAT e Remcos RAT.
- Cluster 2 (setembro a dezembro de 2024): alvos no governo colombiano e nos setores de educação, defesa e varejo, usando AsyncRAT e XWorm.
- Cluster 3 (setembro de 2024 a julho de 2025): caracterizado pelo deployment de AsyncRAT e Remcos RAT.
- Cluster 4 (maio de 2024 a fevereiro de 2025): associado a malware e infraestrutura de phishing atribuídos à TAG-144, com páginas de phishing que simulam Banco Davivienda, Bancolombia e BBVA.
- Cluster 5 (março a julho de 2025): vinculado a Lime RAT e uma variante crackeada do AsyncRAT observada nos Clusters 1 e 2.
As mensagens digitais usadas nessas campanhas vêm com um anexo SVG que busca no Discord CDN um payload em JavaScript, que por sua vez obtém um script PowerShell do Paste.ee.
Este script é projetado para decodificar e executar outro payload PowerShell que captura uma imagem JPG hospedada no Internet Archive e extrai dela uma assembly .NET embutida.
Curiosamente, a versão crackeada do AsyncRAT utilizada nos ataques já foi observada anteriormente em atividades de intrusão atribuídas aos grupos Red Akodon e Shadow Vector, ambos com foco na Colômbia no último ano.
Quase 60% das atividades observadas do Blind Eagle durante o período analisado tiveram como alvo o setor governamental, seguidas pelos setores de educação, saúde, varejo, transporte, defesa e petróleo.
“Embora a TAG-144 tenha mirado outros setores e ocasionalmente esteja ligada a intrusões em outros países sul-americanos, como Equador, além de vítimas hispanofalantes nos EUA, seu foco principal permanece consistentemente na Colômbia, especialmente em entidades governamentais”, concluiu o Recorded Future.
Esse foco persistente levanta questionamentos sobre as reais motivações do grupo de ameaça, se ele atua unicamente como um ator motivado financeiramente, utilizando ferramentas, técnicas e estratégias de monetização consolidadas, ou se há também elementos de espionagem patrocinada por estados envolvidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...