Negli ultimi mesi, un gruppo di hacker noto come Blind Eagle ha lanciato una serie di attacchi mirati contro istituzioni e enti governativi colombiani. Queste campagne, iniziate nel novembre 2024, hanno avuto un impatto significativo, colpendo oltre 1.600 vittime in un solo attacco avvenuto a dicembre 2024. Blind Eagle, attivo dal 2018 e conosciuto anche come AguilaCiega, APT-C-36 e APT-Q-98, è specializzato nel targeting specifico in Sud America, concentrandosi principalmente su Colombia ed Ecuador.

Attacchi e Tecniche Utilizzate

Gli attacchi di Blind Eagle si basano su tecniche di social engineering, principalmente spear-phishing, per ottenere l'accesso iniziale ai sistemi bersaglio. Una volta compromesso il sistema, vengono distribuiti trojan di accesso remoto come AsyncRAT, NjRAT, Quasar RAT e Remcos RAT. Queste intrusioni sono particolarmente degne di nota per l'uso di una variante di un exploit per una vulnerabilità di Microsoft Windows, CVE-2024-43451, corretta solo nel novembre 2024. Questo exploit è stato integrato rapidamente nel loro arsenale, dimostrando la capacità di Blind Eagle di adattarsi rapidamente alle nuove vulnerabilità.

Strategie di Distribuzione

Un elemento chiave delle loro operazioni è l'uso di HeartCrypt, un servizio di packer-as-a-service, per proteggere i file eseguibili malevoli, e la distribuzione di payload tramite piattaforme come Bitbucket e GitHub, oltre ai più comuni Google Drive e Dropbox. Questa strategia consente di bypassare le misure di sicurezza tradizionali e diffondere malware in modo discreto.

Scoperte Operative

Una scoperta interessante è stata fatta analizzando un repository GitHub associato agli attacchi, che ha rivelato che gli hacker operano nel fuso orario UTC-5, in linea con diversi paesi sudamericani. Inoltre, un errore operativo ha portato alla pubblicazione temporanea di un file contenente coppie di account-password con 1.634 indirizzi email unici, inclusi dettagli come nomi utente, password e PIN associati a individui e organizzazioni in Colombia.

Conclusioni

Il successo di Blind Eagle è dovuto in parte alla loro capacità di sfruttare piattaforme legittime per la condivisione di file, nonché all'uso di strumenti di criminalità informatica come Remcos RAT e PureCrypter, che forniscono accesso a tecniche avanzate di evasione e metodi di accesso persistente. La loro rapida integrazione di nuove vulnerabilità evidenzia la loro competenza tecnica e la capacità di evolvere in risposta alle difese di sicurezza in continua evoluzione.