O grupo hacker Blind Eagle, conhecido por atacar entidades governamentais e privadas na América do Sul, tem sido associado a uma nova campanha contra instituições colombianas desde novembro de 2024. De acordo com a Check Point, uma das campanhas registradas em dezembro atingiu mais de 1.600 vítimas, um número expressivo para um grupo APT focado em ataques direcionados. Ativo desde 2018, Blind Eagle (também chamado de APT-C-36 ou AguilaCiega) é famoso por suas operações contra a Colômbia e o Equador, utilizando e-mails de phishing altamente personalizados para distribuir trojans de acesso remoto (RATs), como AsyncRAT, NjRAT, Quasar RAT e Remcos RAT.

A campanha recente se destaca por três motivos principais: a exploração de uma falha NTLM do Windows (CVE-2024-43451), o uso de um Packer-as-a-Service (PaaS) chamado HeartCrypt e a distribuição de malwares via Bitbucket e GitHub, indo além de serviços já explorados anteriormente, como Google Drive e Dropbox. O exploit da vulnerabilidade CVE-2024-43451 foi integrado pelos hackers apenas seis dias após o lançamento do patch da Microsoft, demonstrando a capacidade técnica do grupo.

A exploração ocorre por meio de arquivos .URL maliciosos, que quando abertos pelo usuário, notificam os invasores sobre o download, permitindo avançar na cadeia de infecção. Além disso, um erro operacional dos criminosos revelou informações comprometedoras. A análise de um repositório do GitHub usado na campanha mostrou que os atacantes operam no fuso horário UTC-5, que coincide com diversos países sul-americanos. Mais grave ainda, um arquivo contendo credenciais de 1.634 e-mails, senhas bancárias e de serviços governamentais foi identificado no repositório antes de ser removido.