Las instituciones judiciales y gubernamentales en Colombia han sido blanco constante de sofisticadas campañas de ciberataques que, desde noviembre de 2024, han logrado comprometer a más de 1.600 víctimas en un solo ataque registrado en diciembre del mismo año. Detrás de estas acciones está un grupo de hackers identificado como APT-C-36, también conocido como Blind Eagle o APT-Q-98, reconocido por su enfoque hiperespecífico en objetivos de América del Sur, especialmente en Colombia y Ecuador.
Utilizando tácticas avanzadas como la explotación de fallas en el protocolo NTLM, el uso de RATs (herramientas de acceso remoto) y la manipulación de repositorios en GitHub, este actor de amenazas ha puesto en jaque la seguridad de múltiples organizaciones. Entender sus métodos y adoptar medidas preventivas es clave para mitigar el riesgo de ser la próxima víctima.
El grupo detrás de estos ataques ha estado usando técnicas bastante astutas para engañar a sus víctimas. Su estrategia principal es el phishing selectivo, es decir, correos electrónicos cuidadosamente diseñados para parecer legítimos y así engañar a las personas para que hagan clic en enlaces maliciosos. Una vez que logran acceso inicial, instalan troyanos de acceso remoto como AsyncRAT, NjRAT, Quasar RAT o Remcos RAT, herramientas bastante conocidas en el mundo del malware.
Lo que hace que esta última serie de ataques destaque son tres cosas clave:
En concreto, HeartCrypt fue clave para proteger el ejecutable infectado, que resultó ser una variante de PureCrypter encargada de lanzar el malware Remcos RAT desde un repositorio de Bitbucket o GitHub que posteriormente fue eliminado.
La vulnerabilidad CVE-2024-43451, que Microsoft corrigió en noviembre de 2024, permitía filtrar hashes NTLMv2. Lo preocupante es que Blind Eagle no perdió tiempo: apenas seis días después del parche ya estaban explotando esta falla. Su truco consistía en enviar correos de phishing con enlaces maliciosos que, al ser abiertos manualmente por las víctimas, iniciaban la infección.
Cadena de Ataque Blind Eagle (Fuente: Check point)
Podría interesarte leer: Microsoft Patch Tuesday Marzo 2025: 7 Zero-Days y 57 Fallos Corregidos
Aunque esta variante no expone directamente el hash NTLMv2, sí permite que los atacantes detecten si el archivo fue descargado, gracias a ciertos comportamientos inusuales entre el usuario y el archivo.
En dispositivos vulnerables a la falla CVE-2024-43451, se activa una solicitud WebDAV incluso antes de que el usuario interactúe con el archivo. Y, tanto en sistemas con el parche de seguridad como en aquellos sin él, hacer clic manualmente en el archivo malicioso con extensión .URL provoca la descarga y ejecución del malware.
Esta "respuesta rápida" demuestra el alto nivel técnico del grupo y su habilidad para adaptarse a nuevas defensas de seguridad con tácticas cada vez más creativas.
Un detalle interesante que delata el origen del grupo fue descubierto en un repositorio de GitHub, que reveló que los atacantes operan en la zona horaria UTC-5, la cual coincide con varios países de Sudamérica.
Pero eso no fue todo. En lo que parece ser un error operativo, se encontró en el historial de commits del repositorio un archivo llamado "Ver Datos del Formulario.html". Este documento, eliminado el 25 de febrero de 2025, contenía más de 1.600 direcciones de correo electrónico, junto con nombres de usuario, contraseñas, PIN de cajeros automáticos y otros datos sensibles pertenecientes a individuos, agencias gubernamentales, instituciones educativas y empresas en Colombia.
Un factor clave en el éxito del grupo ha sido su capacidad para aprovechar plataformas legítimas como Google Drive, Dropbox, Bitbucket y GitHub para distribuir malware de forma discreta, logrando evadir las medidas de seguridad tradicionales.
Además, el uso de herramientas de malware avanzadas como Remcos RAT, HeartCrypt y PureCrypter refuerza los vínculos del grupo con el ecosistema del cibercrimen, permitiéndoles emplear técnicas sofisticadas de evasión y mantener el acceso persistente a los sistemas comprometidos.
Conoce más sobre: Hackers de Blind Eagle Usan Spear-Phishing para Instalar RAT
Los ataques de Blind Eagle han dejado en evidencia que muchas empresas siguen siendo vulnerables ante tácticas como el phishing selectivo y el uso de malware avanzado. Este grupo ha demostrado que con solo un clic en un enlace malicioso, los ciberdelincuentes pueden obtener acceso a información confidencial o tomar el control de sistemas críticos.
Para enfrentar estas amenazas, contar con una solución de seguridad eficaz es clave. TecnetProtect, una solución de ciberseguridad y backups, cuenta con características de proteccion de email para detectar y bloquear correos electrónicos de phishing, neutralizar archivos maliciosos y proteger los datos más sensibles de tu empresa. Su tecnología avanzada impulsada por IA, permite identificar ataques incluso antes de que los usuarios puedan caer en la trampa.
Invertir en estas herramientas es una decisión inteligente para cualquier organización que quiera mantenerse protegida. Prevenir un ataque no solo evita pérdidas económicas y daños a la reputación, sino que también brinda la tranquilidad de saber que tu empresa está segura frente a amenazas como Blind Eagle.