O ator de ameaça conhecido como Blind Eagle foi identificado com alta confiança como usuário do serviço de hospedagem russo à prova de invasões (bulletproof hosting) Proton66.
A Trustwave SpiderLabs, em um relatório publicado na última semana, afirmou que conseguiu fazer essa conexão ao explorar ativos digitais vinculados ao Proton66, levando à descoberta de um aglomerado de ameaças ativo que utiliza arquivos Visual Basic Script (VBS) como seu vetor de ataque inicial e instala cavalos de troia de acesso remoto (RATs) disponíveis no mercado.
Muitos atores de ameaça dependem de provedores de hospedagem à prova de invasões como o Proton66 porque esses serviços intencionalmente ignoram relatórios de abuso e pedidos de retirada judicial.
Isso facilita para os atacantes a execução de sites de phishing, servidores de comando e controle, e sistemas de entrega de malware sem interrupção.
A empresa de cibersegurança disse que identificou um conjunto de domínios com um padrão de nomenclatura semelhante (por exemplo, gfast.duckdns[.]org, njfast.duckdns[.]org) a partir de agosto de 2024, todos resolvendo para o mesmo endereço IP ("45.135.232[.]38") que está associado ao Proton66.
O uso de serviços de DNS dinâmicos como o DuckDNS também desempenha um papel chave nessas operações.
Em vez de registrar novos domínios cada vez, os atacantes rotacionam subdomínios vinculados a um único endereço IP — tornando a detecção mais difícil para os defensores.
"Os domínios em questão foram usados para hospedar uma variedade de conteúdos maliciosos, incluindo páginas de phishing e scripts VBS que servem como o estágio inicial do deploy de malware," disse o pesquisador de segurança Serhii Melnyk.
"Esses scripts atuam como carregadores para ferramentas de segundo estágio, que, nesta campanha, limitam-se a RATs publicamente disponíveis e muitas vezes de código aberto." Embora o VBS possa parecer desatualizado, ele ainda é uma ferramenta de acesso inicial devido à sua compatibilidade com sistemas Windows e capacidade de execução silenciosa em segundo plano.
Os atacantes o usam para baixar carregadores de malware, burlar ferramentas antivírus e se mesclar à atividade normal do usuário.
Esses scripts leves são frequentemente o primeiro passo em ataques de múltiplos estágios, que mais tarde implantam RATs, ladrões de dados ou keyloggers.
As páginas de phishing foram encontradas para imitar bancos e instituições financeiras colombianas legítimas, incluindo Bancolombia, BBVA, Banco Caja Social e Davivienda.
Blind Eagle, também conhecido como AguilaCiega, APT-C-36 e APT-Q-98, é conhecido por seu alvo em entidades na América do Sul, particularmente na Colômbia e no Equador.
Os sites enganosos são projetados para colher credenciais de usuários e outras informações sensíveis.
Os payloads VBS hospedados na infraestrutura vêm equipados com capacidades para recuperar arquivos executáveis criptografados de um servidor remoto, agindo essencialmente como um carregador para RATs comuns como AsyncRAT ou Remcos RAT.
Além disso, uma análise dos códigos VBS revelou sobreposições com o Vbs-Crypter, uma ferramenta vinculada a um serviço de crypter baseado em assinatura chamado Crypters and Tools que é usado para ofuscar e compactar payloads VBS com o objetivo de evitar detecção.
A Trustwave disse que também descobriu um painel de botnet que permite aos usuários "controlar máquinas infectadas, recuperar dados exfiltrados e interagir com endpoints infectados através de um amplo conjunto de capacidades tipicamente encontradas em suítes de gerenciamento de RATs comuns."
A divulgação ocorre enquanto a Darktrace revelou detalhes de uma campanha do Blind Eagle que tem como alvo organizações colombianas desde novembro de 2024, explorando uma falha do Windows agora corrigida (
CVE-2024-43451
) para baixar e executar o payload da próxima fase, um comportamento que foi documentado pela primeira vez pela Check Point em março de 2025.
"A persistência do Blind Eagle e a capacidade de adaptar suas táticas, mesmo após a liberação de correções, e a velocidade com que o grupo foi capaz de continuar usando TTPs pré-estabelecidos destaca que o gerenciamento de vulnerabilidades em tempo hábil e a aplicação de patches, embora essenciais, não são uma defesa por si só," disse a empresa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...