O grupo hacker Blind Eagle, também conhecido como ÁguilaCiega, APT-C-36 e APT-Q-98, foi associado a uma série de campanhas em andamento contra instituições governamentais e entidades privadas na Colômbia desde novembro de 2024.
Segundo uma análise da Check Point, as campanhas tiveram altas taxas de infecção, especialmente em instituições do setor judiciário e outras organizações governamentais e privadas. Em apenas uma das campanhas, realizada em 19 de dezembro de 2024, mais de 1.600 vítimas foram afetadas, um número significativo considerando que o grupo opera com ataques altamente direcionados (APT – Advanced Persistent Threat).
O Blind Eagle, ativo desde 2018, concentra suas operações principalmente na América do Sul, com Colômbia e Equador como alvos prioritários. Seus ataques seguem um padrão típico de engenharia social, utilizando e-mails de spear phishing para enganar as vítimas e obter acesso inicial aos sistemas. A partir disso, o grupo implanta trojans de acesso remoto (RATs) amplamente utilizados, como AsyncRAT, NjRAT, Quasar RAT e Remcos RAT.
Os ataques mais recentes do grupo se destacam por três fatores:
Uso de uma variante de exploit da falha CVE-2024-43451, que já havia sido corrigida pela Microsoft.
Emprego do serviço "Packer-as-a-Service" (PaaS) HeartCrypt, usado para proteger arquivos maliciosos.
Distribuição de malware via Bitbucket e GitHub, em vez de serviços convencionais como Google Drive e Dropbox.
O HeartCrypt é utilizado para ocultar executáveis maliciosos, permitindo que uma versão do PureCrypter carregue o Remcos RAT, armazenado anteriormente em repositórios do Bitbucket e GitHub.
A vulnerabilidade CVE-2024-43451, explorada pelo grupo, trata-se de uma falha de divulgação de hash NTLMv2, corrigida pela Microsoft em novembro de 2024. No entanto, apenas seis dias após a atualização, o Blind Eagle já havia incorporado uma variação do exploit em suas operações. O ataque é desencadeado quando a vítima clica manualmente em um arquivo .URL malicioso, distribuído por meio de e-mails de phishing, permitindo a progressão da infecção.
A Check Point identificou que o grupo utilizou um repositório no GitHub, revelando que suas operações seguem o fuso horário UTC-5, alinhando-se com diversos países da América do Sul. Além disso, uma falha operacional expôs um arquivo dentro do histórico do repositório contendo pares de credenciais de 1.634 e-mails únicos, pertencentes a indivíduos, agências governamentais, instituições de ensino e empresas da Colômbia. O arquivo, chamado "Ver Datos del Formulario.html", foi removido em 25 de fevereiro de 2025, mas continha detalhes como nomes de usuários, senhas, endereços de e-mail, credenciais de e-mail e até PINs de caixas eletrônicos.
A Check Point destacou que um dos fatores-chave para o sucesso do Blind Eagle é sua capacidade de explorar plataformas legítimas de compartilhamento de arquivos, como Google Drive, Dropbox, Bitbucket e GitHub, para distribuir malware de forma discreta, burlando medidas tradicionais de segurança. Além disso, o uso de ferramentas de crimeware, como Remcos RAT, HeartCrypt e PureCrypter, reforça os laços do grupo com o ecossistema do cibercrime, fornecendo acesso a técnicas avançadas de evasão e persistência em sistemas comprometidos.
Via - THN
Comments