El actor de amenaza conocido como Agudo ciega se ha vinculado a una serie de campañas en curso dirigidas a instituciones colombianas y entidades gubernamentales desde noviembre de 2024.
“Las campañas monitoreadas dirigieron a las instituciones judiciales colombianas y otras organizaciones gubernamentales o privadas, con altas tasas de infección”, dijo Check Point en un nuevo investigación.
“Más de 1.600 víctimas fueron afectadas durante una de estas campañas que tuvo puesto en torno a del 19 de diciembre de 2024. Esta tasa de infección es significativa teniendo en cuenta el enfoque APT dirigido de Blind Eagle”.
Blind Eagle, activo desde al menos 2018, todavía se rastrea como Aguilaciega, APT-C-36 y APT-Q-98. Es conocido por su orientación hiperpecífica de entidades en América del Sur, específicamente Colombia y Ecuador.
Los cadenas de ataque orquestadas por el actor de amenaza implican el uso de tácticas de ingeniería social, a menudo en forma de correos electrónicos de phishing de pica, para obtener llegada original a los sistemas de destino y, en última instancia, eliminan los troyanos de llegada remoto fácilmente disponibles como Asyncrat, Njrat, Radiofuente Rat y Remcos Rat.
El postrero conjunto de intrusiones es trascendente por tres razones: el uso de una reforma de un exploit para una falta de Microsoft Windows ahora parada (CVE-2024-43451), la prohijamiento de un Packer-As-A-Service (PAAS) llamado Packer-As-Service (PAAS) llamado HeartCrypt, y la distribución de la carga útil a través de BitBucket y Github, Valing Beyond Drive y Dropbox.
Específicamente, HeartCrypt se usa para proteger el ejecutable taimado, una reforma de PurecryPter que entonces es responsable de propalar el malware REMCOS RAT alojado en un repositorio de Bitbucket o GitHub ahora recuperado.
CVE-2024-43451 se refiere a una vulnerabilidad de divulgación de hash NTLMV2 que Microsoft fijó Microsoft en noviembre de 2024. El agudo ciega, por punto de control, incorporó una reforma de esta explotación en su cúmulo de ataque solo seis días luego de la permiso del parche, lo que hace que las víctimas sean víctimas a avanzar en la infección de una infección maliciosa.
“Si perfectamente esta reforma en efectividad no expone el hash NTLMV2, notifica a los actores de amenaza de que el archivo fue descargado por las mismas interacciones inusuales de archivo de favorecido”, dijo la compañía de seguridad cibernética.
“En los dispositivos vulnerables a CVE-2024-43451, una solicitud de WebDAV se activa incluso antaño de que el favorecido interactúe manualmente con el archivo con el mismo comportamiento inusual. Mientras tanto, en los sistemas parchados y sin parches, haciendo clic manualmente en el archivo taimado .URL inicia la descarga y la ejecución de la carga útil de la próxima etapa”.
Check Point señaló que la “respuesta rápida” sirve para resaltar la experiencia técnica del rama y su capacidad para adaptarse y agenciárselas nuevos métodos de ataque frente a las defensas de seguridad en proceso.
Sirviendo como una pistola de fumar para los orígenes del actor de amenaza es el repositorio de GitHub, que ha revelado que el actor de amenaza opera en la zona horaria de UTC-5, alineándose con varios países sudamericanos.
Eso no es todo. En lo que parece ser un error operante, un investigación del historial de confirmación del repositorio ha descubierto un archivo que contiene pares de palabras de cuenta con 1,634 direcciones de correo electrónico únicas.
Mientras que el archivo HTML, llamado “Ver Datos del Formulario.html”, se eliminó del repositorio el 25 de febrero de 2025, se ha incompatible que contiene detalles como nombres de favorecido, contraseñas, correo electrónico, contraseñas de correo electrónico y pasadores de cajeros automáticos asociados con individuos, agencias gubernamentales, instituciones educativas y empresas que operan en Colombia.
“Un creador secreto en su éxito es su capacidad para explotar plataformas legítimas de intercambio de archivos, incluidos Google Drive, Dropbox, Bitbucket y GitHub, lo que le permite evitar las medidas de seguridad tradicionales y distribuir malware sigilosamente”, dijo Check Point.
“Adicionalmente, su uso de herramientas subterráneas de Crimeware, como RemCos Rat, HeartCrypt y Pureecrypter, refuerza sus vínculos profundos con el ecosistema cibercriminal, otorgando llegada a técnicas de despreocupación sofisticadas y métodos de llegada persistente”.
