O grupo de ameaças Blind Eagle, também identificado como AguilaCiega, APT-C-36 e APT-Q-98, está conduzindo uma série de ataques contra entidades governamentais e privadas da Colômbia desde novembro de 2024. Segundo uma análise da Check Point, as investidas utilizam falhas NTLM, trojans de acesso remoto (RATs) e repositórios online como GitHub e Bitbucket para disseminação de malware.
Blind Eagle intensifica ataques a instituições colombianas
Os ataques são baseados em engenharia social, especialmente spear-phishing, onde e-mails fraudulentos induzem vítimas a executar arquivos maliciosos. A Check Point revelou que mais de 1.600 vítimas foram afetadas apenas em uma das campanhas, realizada em dezembro de 2024.
Blind Eagle, ativo desde 2018, concentra seus ataques na América do Sul, especialmente na Colômbia e no Equador. Suas estratégias envolvem o uso de RATs como AsyncRAT, NjRAT, Quasar RAT e Remcos RAT para controle remoto dos dispositivos comprometidos.
Falha NTLM e ferramentas clandestinas
Entre os principais elementos das investidas recentes está a exploração da falha CVE-2024-43451, uma vulnerabilidade do Microsoft Windows corrigida em novembro de 2024. Seis dias após a liberação do patch, o grupo já havia incorporado um exploit dessa vulnerabilidade em suas operações. A exploração ocorre quando um arquivo .URL malicioso é aberto, permitindo a execução do malware sem interação direta do usuário.
Notícias Relacionadas
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Ameaça persistente
Cadeia de infecção em múltiplos estágios dribla defesas com Agent Tesla e XLoader
Campanha de malware em estágios sequenciais usa e-mails falsos e scripts ofuscados para implantar RATs como Agent Tesla, Remcos e XLoader, escapando da detecção tradicional.
Outro destaque é o uso do empacotador HeartCrypt, um serviço de “Packing-as-a-Service” (PaaS) utilizado para ofuscar malware. O HeartCrypt é uma variação do PureCrypter, projetado para injetar cargas maliciosas, como o Remcos RAT, a partir de repositórios Bitbucket e GitHub.
Indícios operacionais e comprometimento de dados
A investigação revelou que os hackers operam no fuso horário UTC-5, alinhado a países da América do Sul. Além disso, um erro operacional expôs um arquivo de credenciais armazenado no repositório GitHub do grupo. O documento, intitulado “Ver Datos del Formulario.html”, continha 1.634 credenciais, incluindo nomes de usuário, senhas de e-mail e PINs de caixas eletrônicos de vítimas em instituições governamentais, educacionais e empresariais da Colômbia.
Blind Eagle e o uso de plataformas legítimas
A capacidade do grupo de explorar serviços legítimos como Google Drive, Dropbox, Bitbucket e GitHub para armazenar e distribuir malware aumenta sua eficácia e dificulta a detecção por soluções de segurança tradicionais. Além disso, o uso de ferramentas avançadas como Remcos RAT e PureCrypter demonstra o envolvimento do grupo com redes cibercriminosas sofisticadas.
Conclusão
Os ataques do Blind Eagle continuam evoluindo, demonstrando grande agilidade na adaptação às novas defesas de segurança. A rápida incorporação de exploits e a utilização de plataformas confiáveis para disseminação de malware reforçam a necessidade de medidas de proteção avançadas para mitigar riscos cibernéticos em organizações colombianas e sul-americanas.
