O grupo de ciberespionagem sul-americano Blind Eagle (APT-C-36) infectou mais de 1.600 organizações na Colômbia em uma campanha recente, segundo a Check Point. Ativo desde 2018, o grupo tem como alvos principais entidades governamentais, financeiras e de infraestrutura crítica na Colômbia e no Equador. Seus ataques são baseados em e-mails de phishing que entregam trojans de acesso remoto (RATs) como NjRAT, AsyncRAT e Remcos. Recentemente, adicionaram ao arsenal o malware PureCrypter.
Leia também
Hacker anuncia ter derrubado www.stj.jus.br
Vigor do EDR faz cibercrime apostar em vishing
Em dezembro de 2024, o Blind Eagle explorou a vulnerabilidade CVE-2024-43451, corrigida pela Microsoft em novembro, após um agente russo tê-la usado contra a Ucrânia. O grupo adaptou o exploit para rastrear interações de usuários com arquivos maliciosos e facilitar infecções.
A campanha usou mais de 10 servidores C&C em dois meses e explorou contas comprometidas do Google Drive para distribuir arquivos maliciosos. A infecção envolveu a execução de uma variante do PureCrypter, que coletava informações do sistema e baixava o Remcos RAT de repositórios no GitHub e Bitbucket.
A Check Point destaca que o Blind Eagle segue como um dos grupos de APT mais ativos e perigosos da América Latina, com forte atuação na Colômbia.
