Los investigadores de ciberseguridad descubrieron cinco grupos de actividad diferentes vinculados a un actor de amenaza permanente conocido como ciego águila entre mayo de 2024 y julio de 2025.
Estos ataques observados por futuros grupos insikt registrados se dirigieron a una variedad de víctimas, pero se dirigieron principalmente dentro del gobierno colombiano a nivel local, municipal y federal. La compañía de inteligencia de amenazas rastrea las actividades bajo el nombre TAG-144.
«Los grupos comparten tácticas, técnicas y procedimientos similares (TTP), incluidos los troyanos de acceso remoto de código abierto y crack (ratas), proveedores de dominios dinámicos y organización de servicios de Internet legítimos (LI), pero difieren significativamente en la infraestructura, el despliegue de malware y otras formas de operación.
Blind Eagle tiene una historia de atacar a las organizaciones sudamericanas desde al menos 2018, con los ataques que reflejan tanto el desprecio cibernético como las motivaciones económicamente impulsadas. Esto se ha demostrado en campañas recientes que incluyen keylogs y monitoreo de navegadores relacionados con los bancos, así como atacar a las agencias gubernamentales que utilizan varios troyanos de acceso remoto (ratas).
Los objetivos de ataque del grupo incluyen autoridades judiciales y fiscales, incluidas las entidades en los sectores financieros, de petróleo, energía, educación, atención médica, manufacturera y de servicios profesionales. El negocio abarca usuarios de habla hispana de Colombia, Ecuador, Chile, Panamá y, en algunos casos, norteamericanos.
Las cadenas de ataque generalmente usan damas de pesca de lanza que se hacen pasar por agencias del gobierno local, pero tentan a los destinatarios a abrir documentos maliciosos, o Cort (.) AS, acortaurl (.) Com, gtly (.) A.
Blind Eagle aprovecha los trucos de geofencing para redirigir a los usuarios a los sitios web oficiales del gobierno cuando intenta enviar mensajes utilizando una cuenta de correo electrónico comprometida y navegar a la infraestructura controlada por los atacantes fuera de Colombia o Ecuador.
«La infraestructura de comando y control (C2) en el TAG-144 a menudo incluye la dirección IP de su ISP de Columbia junto con servidores privados virtuales (VPS) como Proton666 y VPN Services como Gestión Powerhouse, Frootvpn y TorGuard. Esta configuración está mejorada por el uso de servicios dinámicos DNS, incluidos Duckdns (.) ORG, IP-DDNN (, y se refleja en el uso y el uso de DNS DNS, incluidos los Duckdns (.) ORG, IP-DDNN (, y se ve más mejorada por el uso y el uso de los servicios dinámicos, incluidos los patos (.) noip (.) com.
Los grupos de amenazas también utilizan servicios de Internet legítimos para configurar cargas útiles para contenido malicioso y detección de EVARD, como Bitbucket, Discord, Dropbox, GitHub, Google Drive, el Archivo de Internet, Lovestoblog.com, Paste.ee, Tagbox y el sitio web de alojamiento de imágenes brasileño menor conocido.
Una campaña reciente, organizada por el actor de amenazas, emplea archivos de scripts de Visual Basic como drops para ejecutar scripts de PowerShell generados dinámicamente en tiempo de ejecución. Esto accederá a un servidor externo que descarga los módulos del inyector responsables de cargar Limerat, DCRAT, Asynchronous o REMCOS RAT.
Dejando a un lado el enfoque regional, los grupos de piratería se han basado consistentemente en las mismas técnicas desde su aparición, destacando que los «métodos establecidos» continúan proporcionando altas tasas de éxito en la región.
Un análisis futuro registrado de la campaña de Blind Eagle descubrió cinco actividades –
Cluster 1 (febrero a julio de 2025). Se dirige a las agencias gubernamentales colombianas que solo cubren DCRAT, Asyncrat y REMCOS Rat Cluster 2. REMCOS RAT CLUATER 4 (mayo de 2024 a febrero de 2025). Esto está relacionado con la infraestructura de malware e phishing causada por TAG-144, y la página de phishing imita Banco Davivivienda, Bancolombia y BBVA Cluster 5 (marzo a julio).
Los Magcive digital utilizados en estas campañas vienen con un archivo adjunto SVG, por lo que nos pondremos en contacto con el Discord CDN del CDN para obtener la carga útil de JavaScript que recupera el script PowerShell de Paste.ee. El script PowerShell está diseñado para decodificar y ejecutar otra carga útil de PowerShell que recupera las imágenes JPG alojadas en un archivo de Internet y extrae ensamblados .NET integrados de él.
Curiosamente, la versión agrietada de Asyncrat utilizada en el ataque se ha observado previamente en relación con la actividad de invasión montada por los activistas de amenazas Red Akodon y Shadow Vector, los cuales han atacado a Colombia durante el año pasado.
Casi el 60% de las actividades de águila cegada observadas durante el análisis se dirigieron al sector gubernamental, seguido de la educación, la atención médica, el comercio minorista, el transporte, la defensa y las verticales de petróleo.
«TAG-144 se dirige a otros sectores y puede estar vinculado a invasiones de países sudamericanos adicionales como Ecuador y la invasión de víctimas de habla hispana en los Estados Unidos, pero su enfoque principal ha seguido siendo constantemente Colombia, particularmente entidades gubernamentales», dice Future, registrado.
“Esta orientación persistente plantea preguntas sobre las verdaderas motivaciones de los grupos de amenazas, como si solo servirá como un actor de amenaza financieramente impulsado que aprovecha las herramientas, las técnicas y las estrategias de monetización establecidas.
Source link
