Investigadores de ciberseguridad han identificado cinco grupos de actividad distintos relacionados con el actor de amenazas persistente Blind Eagle entre mayo de 2024 y julio de 2025. Estos ataques se han dirigido principalmente al gobierno colombiano a nivel local, municipal y federal. El grupo, rastreado como TAG-144, utiliza tácticas, técnicas y procedimientos (TTPs) similares, como el aprovechamiento de troyanos de acceso remoto (RATs) de código abierto y crackeados, proveedores de dominio dinámico y servicios de Internet legítimos (LIS) para la puesta en escena. Sin embargo, difieren significativamente en la infraestructura, la implementación de malware y otros métodos operativos.

Blind Eagle ha estado activo desde al menos 2018, con campañas que reflejan tanto ciberespionaje como motivaciones financieras, incluyendo el registro de pulsaciones de teclas relacionadas con la banca y la monitorización de navegadores, así como el uso de varios RATs. Los objetivos incluyen el poder judicial y las autoridades fiscales, junto con entidades de los sectores financiero, petrolero, energético, educativo, sanitario, manufacturero y de servicios profesionales. Las operaciones se extienden principalmente por Colombia, Ecuador, Chile y Panamá, y, en algunos casos, usuarios de habla hispana en Norteamérica.

Las cadenas de ataque suelen implicar el uso de señuelos de spear-phishing que se hacen pasar por agencias gubernamentales locales para incitar a los destinatarios a abrir documentos maliciosos o hacer clic en enlaces ocultos mediante acortadores de URL. Blind Eagle utiliza cuentas de correo electrónico comprometidas para enviar los mensajes y aprovecha trucos de geofencing para redirigir a los usuarios a sitios web gubernamentales oficiales cuando intentan navegar a la infraestructura controlada por el atacante fuera de Colombia o Ecuador.

Su infraestructura de comando y control (C2) a menudo incorpora direcciones IP de ISPs colombianos junto con servidores privados virtuales (VPS) y servicios VPN. También se aprovechan servicios de Internet legítimos, como Bitbucket, Discord, Dropbox, GitHub, Google Drive y otros, para alojar payloads y evadir la detección. Las campañas recientes han empleado un archivo Visual Basic Script como dropper para ejecutar un script de PowerShell generado dinámicamente en tiempo de ejecución, que a su vez se conecta a un servidor externo para descargar un módulo inyector responsable de cargar Lime RAT, DCRat, AsyncRAT o Remcos RAT.

El análisis de Recorded Future ha descubierto cinco clusters de actividad, cada uno con características distintivas en términos de objetivos, malware utilizado y período de actividad. El grupo ha mostrado una persistencia en el uso de las mismas técnicas desde su aparición, lo que subraya la eficacia de los métodos establecidos en la región. La actividad observada se ha dirigido principalmente al sector gubernamental, seguido por la educación, la sanidad, el comercio minorista, el transporte, la defensa y el petróleo.

La persistencia en el enfoque en Colombia, particularmente en entidades gubernamentales, plantea preguntas sobre las verdaderas motivaciones del grupo y si opera únicamente como un actor de amenazas impulsado financieramente o si también hay elementos de espionaje patrocinado por el estado.

Fuente original: Ver aquí