El actor de amenaza conocido como Águila ciega se ha vinculado a una serie de campañas en curso dirigidas a instituciones colombianas y entidades gubernamentales desde noviembre de 2024.
«Las campañas monitoreadas dirigieron a las instituciones judiciales colombianas y otras organizaciones gubernamentales o privadas, con altas tasas de infección», dijo Check Point en un nuevo análisis.
«Más de 1.600 víctimas fueron afectadas durante una de estas campañas que tuvo lugar alrededor del 19 de diciembre de 2024. Esta tasa de infección es significativa teniendo en cuenta el enfoque APT dirigido de Blind Eagle».
Blind Eagle, activo desde al menos 2018, también se rastrea como Aguilaciega, APT-C-36 y APT-Q-98. Es conocido por su orientación hiperpecífica de entidades en América del Sur, específicamente Colombia y Ecuador.
Los cadenas de ataque orquestadas por el actor de amenaza implican el uso de tácticas de ingeniería social, a menudo en forma de correos electrónicos de phishing de lanza, para obtener acceso inicial a los sistemas de destino y, en última instancia, eliminan los troyanos de acceso remoto fácilmente disponibles como Asyncrat, Njrat, Quasar Rat y Remcos Rat.
El último conjunto de intrusiones es notable por tres razones: el uso de una variante de un exploit para una falla de Microsoft Windows ahora parada (CVE-2024-43451), la adopción de un Packer-As-A-Service (PAAS) llamado Packer-As-Service (PAAS) llamado HeartCrypt, y la distribución de la carga útil a través de BitBucket y Github, Valing Beyond Drive y Dropbox.
Específicamente, HeartCrypt se usa para proteger el ejecutable malicioso, una variante de PurecryPter que entonces es responsable de lanzar el malware REMCOS RAT alojado en un repositorio de Bitbucket o GitHub ahora recuperado.
CVE-2024-43451 se refiere a una vulnerabilidad de divulgación de hash NTLMV2 que Microsoft fijó Microsoft en noviembre de 2024. El águila ciega, por punto de control, incorporó una variante de esta explotación en su arsenal de ataque solo seis días después de la liberación del parche, lo que hace que las víctimas sean víctimas a avanzar en la infección de una infección maliciosa.
«Si bien esta variante en realidad no expone el hash NTLMV2, notifica a los actores de amenaza de que el archivo fue descargado por las mismas interacciones inusuales de archivo de usuario», dijo la compañía de seguridad cibernética.
«En los dispositivos vulnerables a CVE-2024-43451, una solicitud de WebDAV se activa incluso antes de que el usuario interactúe manualmente con el archivo con el mismo comportamiento inusual. Mientras tanto, en los sistemas parchados y sin parches, haciendo clic manualmente en el archivo malicioso .URL inicia la descarga y la ejecución de la carga útil de la próxima etapa».
Check Point señaló que la «respuesta rápida» sirve para resaltar la experiencia técnica del grupo y su capacidad para adaptarse y buscar nuevos métodos de ataque frente a las defensas de seguridad en evolución.
Sirviendo como una pistola de fumar para los orígenes del actor de amenaza es el repositorio de GitHub, que ha revelado que el actor de amenaza opera en la zona horaria de UTC-5, alineándose con varios países sudamericanos.
Eso no es todo. En lo que parece ser un error operativo, un análisis del historial de confirmación del repositorio ha descubierto un archivo que contiene pares de palabras de cuenta con 1,634 direcciones de correo electrónico únicas.
Mientras que el archivo HTML, llamado «Ver Datos del Formulario.html», se eliminó del repositorio el 25 de febrero de 2025, se ha encontrado que contiene detalles como nombres de usuario, contraseñas, correo electrónico, contraseñas de correo electrónico y pasadores de cajeros automáticos asociados con individuos, agencias gubernamentales, instituciones educativas y empresas que operan en Colombia.
«Un factor clave en su éxito es su capacidad para explotar plataformas legítimas de intercambio de archivos, incluidos Google Drive, Dropbox, Bitbucket y GitHub, lo que le permite evitar las medidas de seguridad tradicionales y distribuir malware sigilosamente», dijo Check Point.
«Además, su uso de herramientas subterráneas de Crimeware, como RemCos Rat, HeartCrypt y Pureecrypter, refuerza sus vínculos profundos con el ecosistema cibercriminal, otorgando acceso a técnicas de evasión sofisticadas y métodos de acceso persistente».