El grupo de amenazas conocido como Blind Eagle ha intensificado sus ataques contra instituciones gubernamentales y empresas en Colombia desde noviembre de 2024, utilizando tácticas avanzadas de ciberespionaje. Este actor malicioso, también identificado como AguilaCiega, APT-C-36 y APT-Q-98, se especializa en ataques dirigidos en América del Sur, principalmente en Colombia y Ecuador.
Blind Eagle: Un grupo APT con alto impacto en Colombia
Blind Eagle ha sido vinculado a múltiples campañas de ciberataques, con especial énfasis en instituciones judiciales y organizaciones gubernamentales. Según un informe reciente de Check Point, más de 1.600 víctimas fueron afectadas en una sola campaña el 19 de diciembre de 2024, reflejando la eficacia de sus técnicas de ataque y su enfoque altamente dirigido.
Métodos de ataque de Blind Eagle
Este grupo de amenazas emplea tácticas avanzadas de ingeniería social para acceder a los sistemas objetivo. Sus ataques suelen iniciar con correos electrónicos de spear-phishing diseñados para engañar a las víctimas y conseguir que descarguen malware. Entre las herramientas utilizadas por Blind Eagle destacan troyanos de acceso remoto (RATs) como AsyncRAT, NjRAT, Quasar RAT y Remcos RAT.
Sin embargo, el último conjunto de ataques de Blind Eagle presenta tres características distintivas:
- Uso de una variante del exploit CVE-2024-43451: Esta vulnerabilidad, parcheada por Microsoft en noviembre de 2024, permite la divulgación de hashes NTLMv2. Blind Eagle incorporó una variante de este exploit solo seis días después del lanzamiento del parche, lo que facilitó la propagación del malware cuando las víctimas hacían clic en enlaces maliciosos distribuidos a través de correos de phishing.
- Adopción de HeartCrypt como empaquetador de malware: Esta herramienta de «packaging-as-a-service» (PaaS) protege el código malicioso para evadir soluciones de seguridad. Blind Eagle ha utilizado una variante de PureCrypter para desplegar Remcos RAT, alojado en repositorios de Bitbucket y GitHub.
- Expansión de su infraestructura de distribución: En lugar de limitarse a plataformas como Google Drive y Dropbox, Blind Eagle ha ampliado su alcance utilizando Bitbucket y GitHub para alojar y distribuir cargas útiles maliciosas.
Análisis del exploit CVE-2024-43451
El exploit CVE-2024-43451 es utilizado por Blind Eagle para notificar a los atacantes cuando una víctima descarga un archivo infectado. Aunque no expone directamente los hashes NTLMv2, sí permite detectar la interacción de un usuario con el archivo, desencadenando el siguiente paso del ataque.
En sistemas vulnerables, la ejecución del exploit genera automáticamente una solicitud WebDAV antes de que el usuario abra manualmente el archivo malicioso. En sistemas actualizados, los ataques solo se ejecutan tras la interacción del usuario, lo que refuerza la importancia de mantener los parches de seguridad al día.
Evidencia de la operación de Blind Eagle en América del Sur
El análisis del repositorio de GitHub utilizado por Blind Eagle ha revelado que opera en la zona horaria UTC-5, coincidiendo con varios países sudamericanos, incluida Colombia. Además, un error operativo en el historial de confirmaciones del repositorio expuso un archivo con más de 1.634 credenciales de acceso pertenecientes a individuos, agencias gubernamentales, instituciones educativas y empresas colombianas.
El archivo, titulado «Ver Datos del Formulario.html», contenía información sensible como nombres de usuario, contraseñas, direcciones de correo electrónico y PINs de cajeros automáticos. Aunque fue eliminado el 25 de febrero de 2025, su descubrimiento resalta la magnitud de la brecha de seguridad y el alcance de las operaciones de Blind Eagle.
Blind Eagle y su impacto en la ciberseguridad en Colombia
El éxito de Blind Eagle radica en su capacidad para aprovechar plataformas legítimas de intercambio de archivos como Google Drive, Dropbox, Bitbucket y GitHub. Al utilizar estos servicios, el grupo logra evadir soluciones de seguridad convencionales y distribuir malware de manera sigilosa.
Además, el empleo de herramientas de crimeware como Remcos RAT, HeartCrypt y PureCrypter refuerza su conexión con el ecosistema cibercriminal. Estas herramientas les permiten implementar sofisticadas técnicas de evasión y mantener acceso persistente a los sistemas comprometidos.
Blind Eagle, una amenaza persistente en América del Sur
El continuo perfeccionamiento de las tácticas de Blind Eagle representa un riesgo significativo para entidades gubernamentales y empresas en Colombia y otros países de la región. La rápida adopción de nuevas vulnerabilidades y técnicas de ataque destaca su capacidad de adaptación y la necesidad de reforzar las medidas de ciberseguridad.
Para mitigar el impacto de estos ataques, es fundamental que las organizaciones implementen estrategias de seguridad proactivas, incluyendo la actualización periódica de software, la concienciación sobre phishing y el monitoreo continuo de infraestructuras críticas.
Blind Eagle sigue evolucionando, y su amenaza no muestra signos de disminuir. Estar alerta y tomar medidas preventivas es clave para minimizar los riesgos y proteger la integridad de los sistemas ante esta avanzada amenaza cibernética.
Fuente: The Hacker News
