El actor de amenaza conocido como ciego Eagle se ha atribuido con una alta confianza al uso del servicio de alojamiento a prueba de balas ruso Proton66.
Trustwave SpiderLabs, en un informe publicado la semana pasada, dijo que fue capaz de hacer esta conexión al girar desde los activos digitales ligados a Proton66, lo que lleva al descubrimiento de un clúster de amenaza activa que aprovecha los archivos de script de Visual Basic (VBS) como su vector de ataque inicial e instala las trutas de acceso remoto (ratas).
Muchos actores de amenaza confían en BulletProSi bien Visual Basic Script (VBS) puede parecer anticuado, sigue siendo unde los proveedores de alojamiento como Proton66 porque estos servicios ignoran intencionalmente los informes de abuso y las solicitudes legales de eliminación. Esto facilita a los atacantes ejecutar sitios de phishing, servidores de comando y control y sistemas de entrega de malware sin interrupción.
La compañía de ciberseguridad dijo que identificaba un conjunto de dominios con un patrón de nomenclatura similar (por ejemplo, GFAST.DuckDNS (.) Org, njfast.duckdns (.) Org) a partir de agosto de 2024, todo lo cual se resolvió a la misma dirección IP («45.135.232 (.) 38») que está asociada con Proton66.
El uso de servicios DNS dinámicos como DuckDNS también juega un papel clave en estas operaciones. En lugar de registrar nuevos dominios cada vez, los atacantes rotan subdominios vinculados a una sola dirección IP, lo que dificulta la detección para los defensores.
«Los dominios en cuestión se utilizaron para organizar una variedad de contenido malicioso, incluidas las páginas de phishing y los scripts VBS que sirven como la etapa inicial de la implementación de malware», dijo el investigador de seguridad Serhii Melnyk. «Estos guiones actúan como cargadores para herramientas de segunda etapa, que, en esta campaña, se limitan a ratas de código abierto y a menudo de código abierto».
Si bien VBS puede parecer anticuado, sigue siendo una herramienta de referencia para el acceso inicial debido a su compatibilidad con los sistemas de Windows y la capacidad de ejecutarse en silencio en segundo plano. Los atacantes lo usan para descargar cargadores de malware, omitir herramientas antivirus y mezclar con la actividad normal del usuario. Estos scripts livianos son a menudo el primer paso en ataques de varias etapas, que luego implementan ratas, robadores de datos o keyloggers.
Se ha encontrado que las páginas de phishing legítimas a los bancos colombianos e instituciones financieras, incluidas Bancolombia, BBVA, Banco Caja Social y Davivienda. Blind Eagle, también conocido como Aguilaciega, APT-C-36 y APT-Q-98, es conocido por su objetivo de entidades en América del Sur, particularmente Colombia y Ecuador.
Los sitios engañosos están diseñados para cosechar las credenciales de los usuarios y otra información confidencial. Las cargas útiles de VBS alojadas en la infraestructura vienen equipadas con capacidades para recuperar archivos ejecutables cifrados de un servidor remoto, esencialmente actuando como un cargador para ratas de productos básicos como Asyncrat o REMCOS RAT.
Además, un análisis de los códigos VBS ha revelado superposiciones con VBS-CryPter, una herramienta vinculada a un servicio CRYPTER basado en suscripción llamado CRYPTERS y herramientas que se usa para ofuscar y empacar la carga útil de VBS con el objetivo de evitar la detección.
Trustwave dijo que también descubrió un panel de botnet que permite a los usuarios «controlar las máquinas infectadas, recuperar datos exfiltrados e interactuar con los puntos finales infectados a través de un amplio conjunto de capacidades que generalmente se encuentran en las suites de gestión de ratas de productos básicos».
La divulgación se produce cuando DarkTrace reveló detalles de una campaña de águila ciega que ha estado atacando a las organizaciones colombianas desde noviembre de 2024 explotando una falla de Windows ahora parchada (CVE-2024-43451) para descargar y ejecutar la carga útil de la siguiente etapa, un comportamiento que fue documentado por primera vez por Check Point en marzo de 2025.
«La persistencia del águila ciega y la capacidad de adaptar sus tácticas, incluso después de que se liberaron parches, y la velocidad a la que el grupo pudo continuar utilizando los aspectos más destacados de TTPS preestablecidos que la gestión de vulnerabilidad y la aplicación de parche, aunque esencial, no es una defensa independiente», dijo la compañía.