Blind Eagle, un grupo de hackers conocido por su habilidad para ejecutar ciberataques dirigidos, ha vuelto a poner en alerta al sector financiero colombiano. Esta vez, su objetivo son las aseguradoras del país, y lo hacen con una de sus herramientas más peligrosas: una versión personalizada del malware Quasar RAT. ¿Qué significa esto para las empresas y qué tan grave es la amenaza? Entender cómo opera este grupo y sus tácticas es clave para prevenir un ataque que puede comprometer información sensible y paralizar operaciones críticas.
De acuerdo con un análisis reciente de un investigador de Zscaler ThreatLabz, estos ataques comenzaron con campañas de phishing que se hacían pasar por comunicaciones oficiales de la autoridad fiscal de Colombia, engañando a las víctimas para instalar el malware.
Este grupo de cibercriminales, también llamado Águila Ciega, APT-C-36 o APT-Q-98, tiene un historial de ataques en América del Sur, especialmente contra organizaciones y personas vinculadas a los sectores gubernamental y financiero en Colombia y Ecuador.
Cadena de Ataque
Los ataques comienzan con correos electrónicos de phishing que intentan convencer a los destinatarios de hacer clic en enlaces maliciosos, desencadenando así el proceso de infección.
Estos enlaces, ya sea dentro de un archivo PDF adjunto o directamente en el cuerpo del correo, llevan a archivos ZIP alojados en una carpeta de Google Drive vinculada a una cuenta comprometida perteneciente a una organización gubernamental regional en Colombia.
El señuelo típico que usa Blind Eagle es una notificación falsa de embargo por impago de impuestos, diseñada para generar urgencia y presionar a las víctimas a actuar rápidamente. El archivo contiene una versión modificada de Quasar RAT, llamada BlotchyQuasar, que utiliza varias capas de ofuscación con herramientas como DeepSea o ConfuserEx, lo que complica su análisis y la ingeniería inversa.
Este malware tiene funciones avanzadas como registrar las pulsaciones de teclado, ejecutar comandos de shell, robar información de navegadores web y clientes FTP, además de monitorear las interacciones de la víctima con servicios bancarios y de pago específicos en Colombia y Ecuador.
Podría interesarte leer: Troyanos de Acceso Remoto: Software Malicioso (RAT)
Este grupo continúa ocultando su infraestructura detrás de redes VPN y enrutadores comprometidos, muchos de ellos ubicados en Colombia. Utilizando tácticas avanzadas de anonimato, Blind Eagle asegura que su tráfico malicioso se mezcle con el tráfico legítimo, lo que dificulta enormemente su detección por parte de las autoridades y los equipos de ciberseguridad. Además, implementan técnicas de rotación de IP y utilizan servicios de proxy para desdibujar aún más sus huellas digitales.
Este método sigue siendo fundamental para evitar ser detectados y asegurar el éxito de sus ataques. No solo se limitan a ocultar su origen, sino que también emplean mecanismos de comunicación cifrada entre los dispositivos infectados y sus servidores de comando y control, lo que añade una capa adicional de seguridad y complica los esfuerzos de mitigación. En resumen, la sofisticación en la ocultación de su infraestructura es una de las razones clave por las que Blind Eagle continúa siendo una amenaza formidable y persistente en el panorama cibernético.
Te podrá interesar leer: Hackers de Blind Eagle Usan Spear-Phishing para Instalar RAT
Blind Eagle es un grupo de cibercriminales altamente organizado que se ha especializado en atacar aseguradoras y entidades financieras en Colombia. Sus ataques se basan en técnicas de phishing personalizado, ingeniería social y el uso de malware sofisticado. Las consecuencias de estos ataques pueden ser graves, incluyendo la pérdida de datos sensibles, interrupción de operaciones y daño a la reputación.
Sin embargo, con las medidas de seguridad adecuadas, es posible mitigar el riesgo y protegerse de este tipo de amenazas. La concientización, el uso de tecnologías de seguridad avanzadas y la implementación de buenas prácticas de ciberseguridad son esenciales para enfrentar a Blind Eagle y otros actores maliciosos en el panorama digital actual. Mantenerse informado sobre las últimas tendencias y amenazas cibernéticas es crucial para estar un paso adelante en la defensa contra estos ataques.